IT之家 6 月 18 日消息,每年,苹果设备管理平台 Jamf 都会发布其《安全 360 :年度趋势报告》,该报告对企业和用户目前面临的 macOS 威胁态势进行了全面展望。这份分析报告基于从 90 个国家的 140 万台安装了 Jamf 软件的 Mac 电脑中收集的匿名真实数据。
今日,Jamf 发布了 2025 年版的报告,涵盖了过去 12 个月的数据。报告揭示了许多令人震惊的信息,其中最引人注目的是信息窃取恶意软件(infostealer malware)激增 28%,使其成为 Mac 平台上占主导地位的恶意软件类型。
IT之家附报告主要发现:
32% 的组织至少有一台设备存在关键(且可修补)漏洞。
Jamf 在过去一年中识别出大约 1000 万次网络钓鱼攻击,其中 15 万到 20 万次被归类为零日攻击。
25% 的组织受到社会工程学攻击的影响。
信息窃取恶意软件持续流行,成为 Mac 恶意软件家族中排名第一的类型,占所有检测到的 Mac 恶意软件的 28.36%。
每 10 名用户中就有 1 人点击了恶意网络钓鱼链接。
超过 90% 的网络攻击源自网络钓鱼
“曾经被视为创意人士和高管专属的设备,如今正越来越多地融入工程师等更多人群的日常工作。但随着其在工作中的持续整合,它也成为攻击者眼中更大的攻击目标。”Jamf 威胁实验室总监 Jaron Bradley 表示。
长期以来,人们一直存在一种误解,认为 Mac 电脑不会感染恶意软件。这种观点可能在 2000 年代初还成立,但如今显然不是这样。Mac 电脑数量的不断增加,使其成为攻击者的关注焦点。尽管苹果通过 XProtect 提供了强大的内置系统安全机制,但企业和个人 Mac 用户仍然以创纪录的速度成为受害者。Jamf 今天的报告突出了哪些类型的恶意软件正在造成最大的破坏。
这是 Jamf 用户首次发现信息窃取恶意软件超越广告软件,成为最常见的恶意软件类型。信息窃取恶意软件的增长率达到 28.08%,占所有分析恶意软件样本的 28.36%。
一旦感染,该恶意软件会在 Mac 与攻击者的命令与控制(C2)服务器之间建立连接,窃取敏感数据,如 iCloud 钥匙串凭证。它还被发现会悄悄安装远程桌面应用程序 AnyDesk 和键盘记录软件,以接管设备并收集按键记录。信息窃取恶意软件通常还会针对网络浏览器,窃取密码和加密货币钱包密钥等凭证。
信息窃取恶意软件之所以难以被发现,是因为它们可以像 VirusTotal 这样的杀毒软件扫描器一样悄无声息地通过检测。网络犯罪分子通常会将可执行文件上传到 VirusTotal 等平台,以确保恶意行为隐藏得足够好,从而避免被流行的扫描器检测到。
近年来,信息窃取恶意软件的流行度急剧上升,部分原因是它们易于获取且入门门槛低。例如,地下犯罪团伙越来越多地开展“恶意软件即服务”(Malware-as-a-Service,简称 MaaS)业务。在这种模式下,恶意软件开发者创建并维护像信息窃取恶意软件这样的工具,并将其出租给技术能力较低的附属机构(affiliates)。这些附属机构获得现成的恶意软件套餐,可以随意针对他们想要攻击的目标。
其他促成因素还包括与勒索软件等攻击相比,信息窃取恶意软件能够快速获得可观的收益,而勒索软件可能需要数周甚至数月才能让网络犯罪分子看到回报。
有趣的是,Jamf 的报告特别提到了 PyInstaller 的滥用。PyInstaller 是一个合法的开源工具,开发者用它将 Python 脚本打包成独立的可执行文件。如今,攻击者开始利用它将恶意 Python 脚本秘密打包,然后发送给潜在受害者在其设备上执行。
苹果在每台 Mac 电脑上预装了许多有价值的后台服务,以保护用户免受互联网上潜在威胁的侵害,但这些措施往往还不够。
如何防范信息窃取恶意软件
在安装任何非官方 Mac 应用商店的应用程序之前,务必进行充分的调查。
在打开链接之前,将鼠标悬停在链接上进行确认。
使用强密码和复杂的密码组合,并启用双因素身份验证(如果可能的话,避免使用短信验证,优先选择一次性密码(OTP))。
在 Mac 上授予权限时要格外谨慎。
保持设备和应用程序的更新。
