Mosyle,這家專注 Apple 設備管理和安全的領先企業,在去年 9 月獨家向 9to5Mac 透露 ModStealer 細節後,再度發現兩款完全避開主流防毒軟件的 macOS 威脅。這兩款先前未被偵測到的樣本分別為 Phoenix Worm,一款跨平台 stager,以及 ShadeStager,一款專為竊取憑證而建的模組化 macOS 植入程式。雖然兩者運作方式並無直接關聯,但共同顯示 Mac 惡意軟件正朝高度精密化發展。
此時機與業界趨勢吻合,過去一年 Mac 平台主導惡意軟件為 infostealer 和木馬如 Atomic Stealer,攻擊者已從喧鬧式的搶奪轉向持久滲透,而 Phoenix Worm 和 ShadeStager 正是此類代表。
Phoenix Worm:隱秘 stager
與名稱相反,Phoenix Worm 實為 stager,以 Golang 開發的多平台惡意軟件,專責建立持久性和準備後續攻擊。stager 為輕量初始負載,不直接投放完整 payload,而是先悄然築牢立足點,此設計具多項優勢。Mosyle 表示,其核心功能包括:
| 功能 | 描述 |
|---|---|
| 建立通訊 | 與遠端指揮控制 (C2) 伺服器聯繫 |
| 生成識別碼 | 為受感染系統產生唯一識別符 |
| 傳輸資料 | 將系統資料回傳攻擊者 |
| 支援升級 | 遠端升級及執行額外 payload |
Mosyle 向 9to5Mac 指出,Phoenix Worm 非獨立威脅,其設計暗示屬更廣泛工具組一部分,用以移交執行權予後續進階 payload。分析時,macOS 和 Linux 變體無防毒引擎偵測,Windows 變體僅有限偵測。 ShadeStager 則為後滲透工具,針對已受感染系統提取高價值資料,雖似 Phoenix Worm 理想搭檔,但 Mosyle 確認兩者無關聯。
此軟件鎖定開發環境和雲端基礎設施,具體目標涵蓋 SSH 金鑰與已知主機、AWS / Azure / GCP 雲端憑證、Kubernetes 設定檔、Git 和 Docker 認證,以及主流瀏覽器完整設定檔。它還執行廣泛偵察,蒐集用戶與權限資訊、OS 和硬體細節、網路設定,以及雲端與 SSH 相關環境變數。所有資料經結構化後,透過 HTTPS 外洩,並支援指令執行、資料外洩和檔案下載。
有趣的是,ShadeStager 無硬編碼 C2 位址,Mosyle 研究員無需反向工程即可察覺部分程式碼,顯示樣本發現時仍處開發階段。 入侵指標 (IoC) 供 Mac 管理員加入安全工具: ShadeStager SHA256:7e8003bee92832b695feb7ae86967e13a859bdac4638fa76586b9202df3d0156
Phoenix Worm SHA256:54ef0c8d7e167053b711853057e3680d94a2130e922cf3c717adf7974888cad2
