2025 年蘋果 Mac 安全報(bào)告：信息竊取惡意軟件激增 28%，成為頭號(hào)威脅

每年，蘋果設(shè)備管理平臺(tái) Jamf 都會(huì)發(fā)布其《安全 360 ：年度趨勢(shì)報(bào)告》，該報(bào)告對(duì)企業(yè)和用戶目前面臨的 macOS 威脅態(tài)勢(shì)進(jìn)行了全面展望。這份分析報(bào)告基于從 90 個(gè)國家的 140 萬臺(tái)安裝了 Jamf 軟件的 Mac 電腦中收集的匿名真實(shí)數(shù)據(jù)。

今日，Jamf 發(fā)布了 2025 年版的報(bào)告，涵蓋了過去 12 個(gè)月的數(shù)據(jù)。報(bào)告揭示了許多令人震驚的信息，其中最引人注目的是信息竊取惡意軟件（infostealer malware）激增 28%，使其成為 Mac 平臺(tái)上占主導(dǎo)地位的惡意軟件類型。

附報(bào)告主要發(fā)現(xiàn)：

32% 的組織至少有一臺(tái)設(shè)備存在關(guān)鍵（且可修補(bǔ)）漏洞。

Jamf 在過去一年中識(shí)別出大約 1000 萬次網(wǎng)絡(luò)釣魚攻擊，其中 15 萬到 20 萬次被歸類為零日攻擊。

25% 的組織受到社會(huì)工程學(xué)攻擊的影響。

信息竊取惡意軟件持續(xù)流行，成為 Mac 惡意軟件家族中排名第一的類型，占所有檢測(cè)到的 Mac 惡意軟件的 28.36%。

每 10 名用戶中就有 1 人點(diǎn)擊了惡意網(wǎng)絡(luò)釣魚鏈接。

超過 90% 的網(wǎng)絡(luò)攻擊源自網(wǎng)絡(luò)釣魚

“曾經(jīng)被視為創(chuàng)意人士和高管專屬的設(shè)備，如今正越來越多地融入工程師等更多人群的日常工作。但隨著其在工作中的持續(xù)整合，它也成為攻擊者眼中更大的攻擊目標(biāo)�！盝amf 威脅實(shí)驗(yàn)室總監(jiān) Jaron Bradley 表示。

長期以來，人們一直存在一種誤解，認(rèn)為 Mac 電腦不會(huì)感染惡意軟件。這種觀點(diǎn)可能在 2000 年代初還成立，但如今顯然不是這樣。Mac 電腦數(shù)量的不斷增加，使其成為攻擊者的關(guān)注焦點(diǎn)。盡管蘋果通過 XProtect 提供了強(qiáng)大的內(nèi)置系統(tǒng)安全機(jī)制，但企業(yè)和個(gè)人 Mac 用戶仍然以創(chuàng)紀(jì)錄的速度成為受害者。Jamf 今天的報(bào)告突出了哪些類型的惡意軟件正在造成最大的破壞。

這是 Jamf 用戶首次發(fā)現(xiàn)信息竊取惡意軟件超越廣告軟件，成為最常見的惡意軟件類型。信息竊取惡意軟件的增長率達(dá)到 28.08%，占所有分析惡意軟件樣本的 28.36%。

一旦感染，該惡意軟件會(huì)在 Mac 與攻擊者的命令與控制（C2）服務(wù)器之間建立連接，竊取敏感數(shù)據(jù)，如 iCloud 鑰匙串憑證。它還被發(fā)現(xiàn)會(huì)悄悄安裝遠(yuǎn)程桌面應(yīng)用程序 AnyDesk 和鍵盤記錄軟件，以接管設(shè)備并收集按鍵記錄。信息竊取惡意軟件通常還會(huì)針對(duì)網(wǎng)絡(luò)瀏覽器，竊取密碼和加密貨幣錢包密鑰等憑證。

信息竊取惡意軟件之所以難以被發(fā)現(xiàn)，是因?yàn)樗鼈兛梢韵?VirusTotal 這樣的殺毒軟件掃描器一樣悄無聲息地通過檢測(cè)。網(wǎng)絡(luò)犯罪分子通常會(huì)將可執(zhí)行文件上傳到 VirusTotal 等平臺(tái)，以確保惡意行為隱藏得足夠好，從而避免被流行的掃描器檢測(cè)到。

近年來，信息竊取惡意軟件的流行度急劇上升，部分原因是它們易于獲取且入門門檻低。例如，地下犯罪團(tuán)伙越來越多地開展“惡意軟件即服務(wù)”（Malware-as-a-Service，簡稱 MaaS）業(yè)務(wù)。在這種模式下，惡意軟件開發(fā)者創(chuàng)建并維護(hù)像信息竊取惡意軟件這樣的工具，并將其出租給技術(shù)能力較低的附屬機(jī)構(gòu)（affiliates）。這些附屬機(jī)構(gòu)獲得現(xiàn)成的惡意軟件套餐，可以隨意針對(duì)他們想要攻擊的目標(biāo)。

其他促成因素還包括與勒索軟件等攻擊相比，信息竊取惡意軟件能夠快速獲得可觀的收益，而勒索軟件可能需要數(shù)周甚至數(shù)月才能讓網(wǎng)絡(luò)犯罪分子看到回報(bào)。

有趣的是，Jamf 的報(bào)告特別提到了 PyInstaller 的濫用。PyInstaller 是一個(gè)合法的開源工具，開發(fā)者用它將 Python 腳本打包成獨(dú)立的可執(zhí)行文件。如今，攻擊者開始利用它將惡意 Python 腳本秘密打包，然后發(fā)送給潛在受害者在其設(shè)備上執(zhí)行。

蘋果在每臺(tái) Mac 電腦上預(yù)裝了許多有價(jià)值的后臺(tái)服務(wù)，以保護(hù)用戶免受互聯(lián)網(wǎng)上潛在威脅的侵害，但這些措施往往還不夠。

如何防范信息竊取惡意軟件

在安裝任何非官方 Mac 應(yīng)用商店的應(yīng)用程序之前，務(wù)必進(jìn)行充分的調(diào)查。

在打開鏈接之前，將鼠標(biāo)懸停在鏈接上進(jìn)行確認(rèn)。

使用強(qiáng)密碼和復(fù)雜的密碼組合，并啟用雙因素身份驗(yàn)證（如果可能的話，避免使用短信驗(yàn)證，優(yōu)先選擇一次性密碼（OTP））。

在 Mac 上授予權(quán)限時(shí)要格外謹(jǐn)慎。

保持設(shè)備和應(yīng)用程序的更新。