Jamf Threat Labs 识别出伪装成 Maccy App 的 PamStealer 恶意软件

Jamf Threat Labs 发现了一种名为 PamStealer 的新型 Rust 语言 macOS 信息窃取器,该恶意软件伪装成开源剪贴板管理器 Maccy。在周四发布的一份报告中,这家网络安全公司表示,该活动利用一个虚假网站分发恶意的 AppleScript 文件,该文件可以窃取 Mac 用户的密码和加密钱包密钥。Jamf Threat Labs 称,该恶意软件在窃取密码前,会通过 macOS 可插拔认证模块(PAM)验证受害者的登录密码。这一发现反映了一个更广泛的趋势:攻击者将恶意软件伪装成合法软件,并滥用受信任的开发者平台和广告渠道。

Jamf Threat Labs 发现 PamStealer 分发方式

据 Jamf Threat Labs 称,该活动使用一个模仿网站分发磁盘映像,其中包含一个名为 Maccy.scpt 的恶意 AppleScript 文件。当打开时,该文件会显示指示,要求用户在 Apple 的脚本编辑器中运行它,同时将恶意代码隐藏在文档更下方。

“我们以 PamStealer 之名追踪此恶意软件,源于其核心行为之一:在窃取密码前,通过 macOS 可插拔认证模块(PAM)验证受害者的登录密码。”Jamf Threat Labs 在报告中写道。

Jamf Threat Labs 总监 Jaron Bradley 告诉 Decrypt,攻击者一直在购买 Google 广告位,以诱导用户访问恶意应用。“我们最近观察到 X 平台上也有恶意广告被投放,”Bradley 说道。“这些社会工程技术已被证明非常成功。”

PamStealer 采用高级规避技术

该恶意软件使用 JavaScript for Automation 和原生 macOS API 下载第二阶段载荷,而不依赖 curl 或 zsh 等常见 Shell 工具,从而减少了安全工具可观察到的进程数量。

根据报告,第二阶段是一个针对 Apple Silicon Mac 的 Rust 语言二进制文件,伪装成 Finder 或软件更新。“该加载程序并非以明文存储配置,而是从主机的指纹(包括 CPU 架构、区域设置、键盘布局和时区)派生密钥,并用它来解锁一个加密且经过完整性检查的配置,其中包含载荷 URL 和安装路径。”该公司表示。

如果恶意软件无法验证自身是否在预期目标上运行,它会自行安静关闭。

恶意软件能力包括凭据窃取和持久化

一旦安装,该恶意软件可以窃取浏览器凭据和钥匙串数据,监控剪贴板内容,建立持久化,并通过加密通信将窃取的信息发送到远程命令与控制服务器。

该恶意软件试图通过显示虚假的 Finder 警报,要求用户授予完全磁盘访问权限来扩大其访问范围。该提示最多可在感染后 40 分钟出现,从而降低用户将其与原始下载关联的可能性。如果获得批准,恶意软件可以访问受保护的数据,包括邮件、信息和 Time Machine 备份。

据 Bradley 称,Jamf 尚未观察到任何证据表明 PamStealer 在野外活跃。该公司已向苹果通报了其发现。苹果未立即回应 Decrypt 的置评请求。

Jamf 发现相关的 X 平台活动

Jamf 表示,类似的社会工程技术正在蔓延到其他平台。在上周的一篇 X 帖子中,该公司表示正在调查 X 上一个推广 DynamicLake 的赞助广告,该广告将用户重定向到 dynamicmacisland[.]com,并指示他们打开终端并执行安装命令。

“该广告通过一个经过验证的 X 账户投放,为社会工程增加了另一层信任。”该公司写道。“对载荷的分析显示,这是一个最近的 Atomic (MacSync) 窃取器变种。”

发现反映更广泛的恶意软件趋势

这些发现正值攻击者越来越多地将恶意软件伪装成合法软件,并滥用受信任的开发者平台和广告渠道之际。近期的活动包括:一个假冒的 OpenAI 仓库在 Hugging Face 热门项目排行榜上登顶,随后分发了一个 Rust 语言的信息窃取器;一个恶意的 Visual Studio Code 扩展,GitHub 称其暴露了大约 3,800 个内部仓库;以及针对 AI 公司(包括 OpenAI 和 Mistral AI)所用开发工具的 Shai-Hulud 软件供应链攻击活动。

常见问题

什么是 PamStealer 恶意软件,它如何针对 Mac 用户?

PamStealer 是 Jamf Threat Labs 发现的一种基于 Rust 语言的 macOS 信息窃取器,伪装成开源剪贴板管理器 Maccy。该恶意软件通过一个虚假网站分发,该网站提供恶意的 AppleScript 文件。在窃取浏览器凭据、钥匙串数据并监控剪贴板内容之前,它会通过 macOS 可插拔认证模块(PAM)验证受害者的登录密码。

PamStealer 如何避免被安全工具检测?

据 Jamf Threat Labs 称,PamStealer 使用 JavaScript for Automation 和原生 macOS API 下载第二阶段载荷,而不依赖 curl 或 zsh 等常见 Shell 工具,从而减少了安全工具可观察到的进程数量。该恶意软件还从主机指纹派生密钥,以解锁加密配置,并且如果无法验证自身正在预期目标上运行,则会自行关闭。

Jamf 是否观察到 PamStealer 在活跃攻击中使用?

据 Jamf Threat Labs 总监 Jaron Bradley 称,Jamf 尚未观察到任何证据表明 PamStealer 在野外活跃。该公司已向苹果通报了结果,但苹果未立即回应 Decrypt 的置评请求。

免责声明:本页面信息可能来自第三方,仅供参考,不代表 Gate 的观点或意见,亦不构成任何财务、投资或法律建议。数字资产交易风险较高,请勿仅依赖本页面信息作出决策。具体内容详见声明
评论
0/400
暂无评论