安全漏洞：Mac 可以檢測並刪除的惡意軟件

28 11 月 2025

9to5Mac Security Bite 獨家為您帶來 Mosyle，蘋果唯一的統一平台。我們所做的一切都是為了確保 Apple 設備在企業中準備就緒且安全。我們獨特的管理和安全集成方法將 Apple 最先進的安全解決方案與市場上最強大、最先進的 Apple MDM 相結合，以實現全自動安全性和合規性、下一代 EDR、人工智能驅動的零信任和專有權限管理。結果是 Apple 的全自動、統一平台現已受到超過 45,000 個組織的信賴，可以輕鬆且經濟地使數百萬台 Apple 設備做好運行準備。 請求延長試用期 今天就了解為什麼 Mosyle 是您體驗 Apple 所需的全部。

更新於 2025 年 11 月 28 日

您是否想知道 macOS 無需第三方軟件的幫助即可檢測並刪除哪些惡意軟件？ Apple 不斷向內置 XProtect for Mac 添加新的惡意軟件檢測規則。儘管大多數規則名稱（簽名）令人困惑，但安全研究人員可以通過一些逆向工程將它們與常見的行業名稱相匹配。

在更新的感恩節版 Security Bite 中，我回顧了我在 2024 年 5 月開始研究的一個故事。由於 Apple 不斷向其 XProtect 套件添加新模塊以對抗最新的惡意軟件趨勢，我懷疑本專欄將隨著時間的推移繼續更新。以下是您的 Mac 可以自行檢測和刪除的惡意軟件：

XProtect，Yara 規則，對嗎？

XProtect 於 2009 年作為 macOS X 10.6 Snow Leopard 的一部分推出。它最初發布的目的是檢測安裝文件中是否發現惡意軟件並向用戶發出警報。然而，XProtect 最近發生了顯著變化。長期存在的惡意軟件刪除工具 (MRT) 於 2022 年 4 月停產，引入了 XProtectRemediator (XPR)，這是一個更強大的內置惡意軟件防護組件，負責檢測和消除 Mac 上的威脅。

XProtect 使用基於 Yara 簽名的惡意軟件檢測。孩子們它本身是一種廣泛使用的開源工具，可以根據代碼或元數據中的某些特徵和模式來識別文件（包括惡意軟件）。 Yara 規則的偉大之處在於，任何組織或個人都可以創建和使用自己的規則，包括 Apple。

從 macOS 15 Sequoia 開始，XProtect 由三個主要組件組成：

XProtect 應用程序 每次應用程序首次啟動、更改或更新其簽名時，都可以使用 Yara 規則檢測惡意軟件。
XProtectRemediator (XPR) 更加主動，可以通過使用 Yara 規則定期掃描來檢測和刪除惡意軟件等。它們在低活動期間在後台出現，對處理器的影響最小。
最新版本的 macOS 包含 XProtectBehaviorService。 (XBS)，監視與關鍵資源相關的系統行為。

不幸的是，Apple 在 XProtect 中主要使用通用內部命名方案，隱藏常見的惡意軟件名稱。雖然這是有充分理由的，但對於那些有興趣確切了解 XProtect 可以識別哪些惡意軟件的人來說卻很困難。

例如，某些 Yara 規則被賦予了更明顯的名稱，例如 XProtect_MACOS_PIRRIT_GEN，這是 Pirrit 廣告軟件檢測的簽名。然而，在 XProtect 中，您大多會找到更通用的規則，例如 XProtect_MACOS_2fc5997，以及只有 Apple 工程師知道的內部簽名，例如 XProtect_snowdrift。這就是安全研究人員喜歡的地方菲爾·斯托克斯和奧爾登登入。

Sentinel One Labs 的 Phil Stokes 正在主持一場便捷的活動 GitHub 上的存儲庫它將 Apple 使用的這些令人困惑的簽名與供應商使用的更常見的名稱相匹配，並在 VirusTotal 等公共惡意軟件掃描程序中找到。此外，奧爾登最近提出重大成就通過從掃描引擎二進製文件中提取 Yara 規則來了解 XPR 的工作原理。

如何在 Mac 上找到 XProtect？

XProtect 在所有版本的 macOS 上默認啟用。它還在系統級別工作，完全在後台運行，因此不需要干預。 XProtect 更新也是自動的。這是它的位置：

在 麥金塔高清, 去 庫 > Apple > 系統 > 庫 > CoreServices
從這裡您可以通過右鍵單擊找到修復程序 XP保護
然後點擊 顯示包裝內容
擴張內容
打開 蘋果系統

筆記。用戶不應完全依賴 Apple 的 XProtect 套件，因為它旨在檢測已知威脅。更複雜的攻擊可以輕鬆繞過檢測。但是，我強烈建議安裝任意數量的可用第三方惡意軟件檢測和刪除工具。

macOS 惡意軟件可以自行刪除

雖然 XProtect 應用程序本身只能檢測和阻止威脅，但要刪除威脅則取決於 XPR 掃描引擎。我們目前可以識別當前版本的 XPR (v156) 中的 25 個修復中的 23 個可以保護您的計算機免受惡意軟件的侵害。幾乎所有模塊都使用 Apple 的內部命名方案，並且在啟動掃描或修復時不會通知用戶。以下是我們目前對每個項目的了解：

廣告加載： 自 2017 年起針對 macOS 用戶的廣告軟件和捆綁軟件下載器。 Adload 能夠避免檢測，直到 XProtect 的最新重大更新添加了 74 條新的 Yara 檢測規則，所有這些規則都針對惡意軟件。
壞扭蛋: 官方仍未知。然而，它因造成誤報而聞名，經常將非惡意軟件（例如 1Password）中的無害幫助應用程序標記為潛在威脅。, 依據折衷照明公司。
藍頂： “BlueTop 似乎是卡巴斯基在 2023 年底發現的特洛伊木馬代理活動。” 奧爾登說。
裝置：2024 年 12 月添加的新模塊。該模塊的名稱不隱藏。 Bundlore 是一系列專為 macOS 系統設計的常見廣告軟件安裝程序。許多第三方惡意軟件掃描程序可以檢測數據包並實時阻止它們。這不是一個嚴重的威脅。
紙板切口： 該模塊的工作方式與其他模塊略有不同。 CardboardCutout 不是掃描特定類型的惡意軟件，而是創建具有已知簽名的惡意軟件“剪切”，並在其在系統上運行之前將其阻止。
冷扣： “ColdSnap 可能正在尋找 SimpleTea 惡意軟件的 macOS 版本。這也與 3CX 黑客攻擊有關，並且與 Linux 和 Windows 變體有相似之處。” SimpleTea（Linux 上的 SimpleTea）是一種遠程訪問木馬 (RAT)，據信起源於朝鮮。
導體： 它並不是真正的惡意軟件掃描程序。 Explorer 是一個基礎設施模塊，用於管理其他補丁組件的調度和運行狀況，以確保它們正常運行。
掠奪者： Crapyrator 已被識別為 macOS.Bkdr.Activator。 Phil Stokes 在 Sentinel One 中表示，這是一個於 2024 年 2 月披露的惡意軟件活動，“大規模感染 macOS 用戶，其目標可能是創建 macOS 殭屍網絡或大規模傳播其他惡意軟件”。
達布強盜： 一種令人震驚的多功能特洛伊木馬植入程序，也稱為 XCSSET。
艾卡: 一個無害文件它是專門為運行防病毒掃描程序而設計的，不會造成損害。
軟盤腳蹼: 還沒有確定。
天才： 一種非常常見的潛在有害程序 (PUP)。以至於他甚至擁有自己的維基百科頁面。
綠田： GreenAcre 已被識別為 OSX.GImmick。它是一種複雜的跨平台間諜軟件，用於有針對性的攻擊，並使用 Google Drive 等公共雲服務進行命令和控制來隱藏其流量。
偷竊鑰匙： KeySteal 是一款針對 macOS 的信息竊取程序，於 2021 年首次發現，並於 2023 年 2 月添加到 XProtect 中。
MRTv3： 這是一組用於檢測和刪除惡意軟件的組件，繼承自 XProtect 的前身惡意軟件刪除工具 (MRT)。
黃鐵礦： 由於某種原因，這個也沒有偽裝。 Pirrit 是 macOS 的廣告軟件，首次出現於 2016 年。眾所周知，它會在網頁中註入彈出廣告，收集用戶的個人瀏覽器數據，甚至操縱搜索排名以將用戶重定向到惡意頁面。
蘭克·史坦克：“這條規則是最明顯的規則之一，因為它包含 3CX 事件中發現的惡意可執行文件的路徑，”奧爾登說。 3CX 是 Lazarus 集團發起的供應鏈攻擊。
紅松： 不太確定的是，奧爾登認為 RedPine 很可能是三角測量行動中對 TriangleDB 的回應，三角測量行動是有史以來最複雜的 iPhone 攻擊之一。
蟑螂飛行：與飛蟑螂無關，不幸的是尚未被研究人員識別。
羊交換：人們普遍認為，該模塊與 SheepSwap 一樣，旨在用於不斷變化的 Adload 廣告軟件包的其他變體。折衷照明公司。
顯示小獵犬： 此次攻擊的目標是 TraderTraitor，這是一個與朝鮮組織 Lazarus 相關的活動，該活動利用特洛伊木馬交易應用程序攻擊加密貨幣交易所和 DeFi 用戶。
雪花飄移： 鑑定為雲門西斯適用於 MacOS 的間諜軟件。
玩具掉落： 人們普遍認為，該模塊與 SheepSwap 一樣，旨在用於不斷變化的 Adload 廣告軟件的其他變體。
尋找：像皮里特一樣，尋找是另一個跨平台瀏覽器劫持者。眾所周知，它可以重定向搜索結果、跟踪瀏覽歷史記錄並將自己的廣告注入搜索中。
水網： Proxit 是一種用 Go 編程語言編寫的代理木馬，可將受感染的 Mac 計算機轉變為代理主機以路由惡意流量。