Jamf Threat Labs 发现了一种名为 PamStealer 的新型 Rust 语言 macOS 信息窃取器,该恶意软件伪装成开源剪贴板管理器 Maccy。在周四发布的一份报告中,这家网络安全公司表示,该活动利用一个虚假网站分发恶意的 AppleScript 文件,该文件可以窃取 Mac 用户的密码和加密钱包密钥。Jamf Threat Labs 称,该恶意软件在窃取密码前,会通过 macOS 可插拔认证模块(PAM)验证受害者的登录密码。这一发现反映了一个更广泛的趋势:攻击者将恶意软件伪装成合法软件,并滥用受信任的开发者平台和广告渠道。
据 Jamf Threat Labs 称,该活动使用一个模仿网站分发磁盘映像,其中包含一个名为 Maccy.scpt 的恶意 AppleScript 文件。当打开时,该文件会显示指示,要求用户在 Apple 的脚本编辑器中运行它,同时将恶意代码隐藏在文档更下方。
“我们以 PamStealer 之名追踪此恶意软件,源于其核心行为之一:在窃取密码前,通过 macOS 可插拔认证模块(PAM)验证受害者的登录密码。”Jamf Threat Labs 在报告中写道。
Jamf Threat Labs 总监 Jaron Bradley 告诉 Decrypt,攻击者一直在购买 Google 广告位,以诱导用户访问恶意应用。“我们最近观察到 X 平台上也有恶意广告被投放,”Bradley 说道。“这些社会工程技术已被证明非常成功。”
该恶意软件使用 JavaScript for Automation 和原生 macOS API 下载第二阶段载荷,而不依赖 curl 或 zsh 等常见 Shell 工具,从而减少了安全工具可观察到的进程数量。
根据报告,第二阶段是一个针对 Apple Silicon Mac 的 Rust 语言二进制文件,伪装成 Finder 或软件更新。“该加载程序并非以明文存储配置,而是从主机的指纹(包括 CPU 架构、区域设置、键盘布局和时区)派生密钥,并用它来解锁一个加密且经过完整性检查的配置,其中包含载荷 URL 和安装路径。”该公司表示。
如果恶意软件无法验证自身是否在预期目标上运行,它会自行安静关闭。
一旦安装,该恶意软件可以窃取浏览器凭据和钥匙串数据,监控剪贴板内容,建立持久化,并通过加密通信将窃取的信息发送到远程命令与控制服务器。
该恶意软件试图通过显示虚假的 Finder 警报,要求用户授予完全磁盘访问权限来扩大其访问范围。该提示最多可在感染后 40 分钟出现,从而降低用户将其与原始下载关联的可能性。如果获得批准,恶意软件可以访问受保护的数据,包括邮件、信息和 Time Machine 备份。
据 Bradley 称,Jamf 尚未观察到任何证据表明 PamStealer 在野外活跃。该公司已向苹果通报了其发现。苹果未立即回应 Decrypt 的置评请求。
Jamf 表示,类似的社会工程技术正在蔓延到其他平台。在上周的一篇 X 帖子中,该公司表示正在调查 X 上一个推广 DynamicLake 的赞助广告,该广告将用户重定向到 dynamicmacisland[.]com,并指示他们打开终端并执行安装命令。
“该广告通过一个经过验证的 X 账户投放,为社会工程增加了另一层信任。”该公司写道。“对载荷的分析显示,这是一个最近的 Atomic (MacSync) 窃取器变种。”
这些发现正值攻击者越来越多地将恶意软件伪装成合法软件,并滥用受信任的开发者平台和广告渠道之际。近期的活动包括:一个假冒的 OpenAI 仓库在 Hugging Face 热门项目排行榜上登顶,随后分发了一个 Rust 语言的信息窃取器;一个恶意的 Visual Studio Code 扩展,GitHub 称其暴露了大约 3,800 个内部仓库;以及针对 AI 公司(包括 OpenAI 和 Mistral AI)所用开发工具的 Shai-Hulud 软件供应链攻击活动。
什么是 PamStealer 恶意软件,它如何针对 Mac 用户?
PamStealer 是 Jamf Threat Labs 发现的一种基于 Rust 语言的 macOS 信息窃取器,伪装成开源剪贴板管理器 Maccy。该恶意软件通过一个虚假网站分发,该网站提供恶意的 AppleScript 文件。在窃取浏览器凭据、钥匙串数据并监控剪贴板内容之前,它会通过 macOS 可插拔认证模块(PAM)验证受害者的登录密码。
PamStealer 如何避免被安全工具检测?
据 Jamf Threat Labs 称,PamStealer 使用 JavaScript for Automation 和原生 macOS API 下载第二阶段载荷,而不依赖 curl 或 zsh 等常见 Shell 工具,从而减少了安全工具可观察到的进程数量。该恶意软件还从主机指纹派生密钥,以解锁加密配置,并且如果无法验证自身正在预期目标上运行,则会自行关闭。
Jamf 是否观察到 PamStealer 在活跃攻击中使用?
据 Jamf Threat Labs 总监 Jaron Bradley 称,Jamf 尚未观察到任何证据表明 PamStealer 在野外活跃。该公司已向苹果通报了结果,但苹果未立即回应 Decrypt 的置评请求。
相关快讯