Jamf Threat Labs xác định phần mềm độc hại PamStealer giả dạng ứng dụng Maccy

Jamf Threat Labs đã xác định một phần mềm đánh cắp thông tin trên macOS mới dựa trên Rust có tên PamStealer, giả mạo trình quản lý clipboard mã nguồn mở Maccy. Trong một báo cáo được công bố hôm thứ Năm, công ty an ninh mạng cho biết chiến dịch sử dụng một trang web giả mạo để phân phối tệp AppleScript độc hại có thể đánh cắp mật khẩu và khóa ví tiền điện tử từ người dùng Mac. Theo Jamf Threat Labs, phần mềm độc hại xác thực mật khẩu đăng nhập của nạn nhân thông qua Mô-đun xác thực cắm của macOS (PAM) trước khi thu thập chúng. Phát hiện này phản ánh xu hướng rộng hơn khi kẻ tấn công ngụy trang phần mềm độc hại thành phần mềm hợp pháp và lạm dụng các nền tảng nhà phát triển đáng tin cậy cũng như các kênh quảng cáo.

Jamf Threat Labs Phát hiện Phương thức Phân phối PamStealer

Theo Jamf Threat Labs, chiến dịch sử dụng một trang web tương tự để phân phối một tệp hình ảnh ổ đĩa chứa tệp AppleScript độc hại có tên Maccy.scpt. Khi được mở, tệp này hiển thị hướng dẫn yêu cầu người dùng chạy nó trong Trình biên tập Script của Apple trong khi ẩn mã độc hại ở phần dưới của tài liệu.

"Chúng tôi đang theo dõi phần mềm độc hại này dưới tên PamStealer sau một trong những hành vi cốt lõi của nó: xác thực mật khẩu đăng nhập của nạn nhân thông qua Mô-đun xác thực cắm của macOS (PAM) trước khi thu thập nó," Jamf Threat Labs viết trong báo cáo.

Giám đốc Jamf Threat Labs, Jaron Bradley, nói với Decrypt rằng những kẻ tấn công đã mua không gian quảng cáo trên Google để dụ người dùng đến các ứng dụng độc hại. "Gần đây chúng tôi cũng đã quan sát thấy các quảng cáo độc hại được đăng trên X," Bradley nói. "Những kỹ thuật kỹ thuật xã hội này đã chứng minh là rất thành công."

PamStealer Sử dụng Kỹ thuật Né tránh Tiên tiến

Phần mềm độc hại sử dụng JavaScript for Automation và API gốc của macOS để tải xuống tải trọng giai đoạn hai mà không dựa vào các tiện ích shell phổ biến như curl hoặc zsh, giảm số lượng tiến trình mà các công cụ bảo mật có thể quan sát.

Theo báo cáo, giai đoạn thứ hai là một tệp nhị phân dựa trên Rust được thiết kế cho máy Mac Apple Silicon, tự ngụy trang thành Finder hoặc Software Update. "Thay vì lưu trữ cấu hình của nó ở dạng văn bản rõ, trình tải xuống tạo ra một khóa từ dấu vân tay của máy chủ—bao gồm kiến trúc CPU, ngôn ngữ, bố cục bàn phím và múi giờ—và sử dụng nó để mở khóa một cấu hình được mã hóa, có kiểm tra tính toàn vẹn chứa URL tải trọng và đường dẫn cài đặt," công ty cho biết.

Nếu phần mềm độc hại không thể xác minh rằng nó đang chạy trên mục tiêu dự định, nó sẽ tự động tắt.

Khả năng của Phần mềm độc hại Bao gồm Đánh cắp Thông tin xác thực và Duy trì

Sau khi được cài đặt, phần mềm độc hại có thể đánh cắp thông tin xác thực trình duyệt và dữ liệu Keychain, giám sát nội dung clipboard, thiết lập tính duy trì và gửi thông tin bị đánh cắp đến một máy chủ điều khiển và chỉ huy từ xa bằng cách sử dụng liên lạc được mã hóa.

Phần mềm độc hại cố gắng mở rộng quyền truy cập của mình bằng cách hiển thị một cảnh báo Finder giả yêu cầu người dùng cấp Quyền truy cập đầy đủ vào ổ đĩa. Lời nhắc có thể xuất hiện tới 40 phút sau khi nhiễm, khiến người dùng ít có khả năng liên kết nó với bản tải xuống ban đầu. Nếu được chấp thuận, phần mềm độc hại có thể truy cập dữ liệu được bảo vệ, bao gồm Mail, Tin nhắn và bản sao lưu Time Machine.

Theo Bradley, Jamf chưa quan sát thấy bất kỳ bằng chứng nào cho thấy PamStealer hoạt động trong thực tế. Công ty đã thông báo cho Apple về những phát hiện của mình. Apple không trả lời ngay lập tức yêu cầu bình luận từ Decrypt.

Jamf Xác định Chiến dịch Liên quan trên Nền tảng X

Jamf cho biết họ đang thấy các kỹ thuật kỹ thuật xã hội tương tự lan sang các nền tảng khác. Trong một bài đăng trên X tuần trước, công ty cho biết họ đang điều tra một quảng cáo tài trợ trên X quảng bá DynamicLake đã chuyển hướng người dùng đến dynamicmacisland[.]com, nơi họ được hướng dẫn mở Terminal và thực thi một lệnh cài đặt.

"Quảng cáo được phân phối thông qua một tài khoản X đã được xác minh, thêm một lớp tin cậy khác cho kỹ thuật xã hội," công ty viết. "Phân tích tải trọng cho thấy một biến thể Atomic (MacSync) Stealer gần đây."

Phát hiện Phản ánh Xu hướng Phần mềm độc hại Rộng hơn

Các phát hiện diễn ra khi những kẻ tấn công ngày càng ngụy trang phần mềm độc hại thành phần mềm hợp pháp và lạm dụng các nền tảng nhà phát triển đáng tin cậy cũng như các kênh quảng cáo. Các chiến dịch gần đây bao gồm một kho lưu trữ OpenAI giả đã lên đến đỉnh của các dự án thịnh hành trên Hugging Face trước khi phân phối một trình đánh cắp thông tin dựa trên Rust, một tiện ích mở rộng Visual Studio Code độc hại mà GitHub cho biết đã lộ khoảng 3.800 kho lưu trữ nội bộ, và chiến dịch chuỗi cung ứng phần mềm Shai-Hulud nhắm vào các công cụ phát triển được sử dụng bởi các công ty AI bao gồm OpenAI và Mistral AI.

FAQ

Phần mềm độc hại PamStealer là gì và nó nhắm mục tiêu người dùng Mac như thế nào?

PamStealer là một trình đánh cắp thông tin macOS dựa trên Rust được xác định bởi Jamf Threat Labs, giả mạo trình quản lý clipboard mã nguồn mở Maccy. Phần mềm độc hại được phân phối thông qua một trang web giả mạo cung cấp tệp AppleScript độc hại. Nó xác thực mật khẩu đăng nhập của nạn nhân thông qua Mô-đun xác thực cắm của macOS (PAM) trước khi đánh cắp thông tin xác thực trình duyệt, dữ liệu Keychain và giám sát nội dung clipboard.

Làm thế nào PamStealer tránh bị phát hiện bởi các công cụ bảo mật?

Theo Jamf Threat Labs, PamStealer sử dụng JavaScript for Automation và API gốc của macOS để tải xuống tải trọng giai đoạn hai mà không dựa vào các tiện ích shell phổ biến như curl hoặc zsh, giảm số lượng tiến trình mà các công cụ bảo mật có thể quan sát. Phần mềm độc hại cũng tạo ra một khóa từ dấu vân tay của máy chủ để mở khóa một cấu hình được mã hóa và tự động tắt nếu không thể xác minh nó đang chạy trên mục tiêu dự định.

Jamf có quan sát thấy PamStealer được sử dụng trong các cuộc tấn công đang hoạt động không?

Theo Giám đốc Jamf Threat Labs, Jaron Bradley, Jamf chưa quan sát thấy bất kỳ bằng chứng nào cho thấy PamStealer hoạt động trong thực tế. Công ty đã thông báo cho Apple về những phát hiện của mình, nhưng Apple không trả lời ngay lập tức yêu cầu bình luận từ Decrypt.

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ các nguồn bên thứ ba và chỉ mang tính chất tham khảo. Thông tin này không phản ánh quan điểm hoặc ý kiến của Gate và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Giao dịch tài sản ảo tiềm ẩn rủi ro cao. Vui lòng không chỉ dựa vào thông tin trên trang này khi đưa ra quyết định. Để biết thêm chi tiết, vui lòng xem Tuyên bố miễn trừ trách nhiệm.
Bình luận
0/400
Không có bình luận