Jamf Threat Labs 識別出偽裝成 Maccy App 的 PamStealer 惡意軟體

Jamf Threat Labs 發現一款名為 PamStealer 的新型 Rust 語言 macOS 資訊竊取軟體,偽裝成開源剪貼簿管理器 Maccy。這家網路安全公司在週四發布的一份報告中表示,該活動利用假網站散佈惡意 AppleScript 檔案,可竊取 Mac 用戶的密碼與加密錢包金鑰。根據 Jamf Threat Labs 的說法,該惡意軟體在竊取受害者登入密碼之前,會先透過 macOS 可插拔認證模組(PAM)進行驗證。這項發現反映了攻擊者將惡意軟體偽裝成合法軟體,並濫用受信賴的開發者平台與廣告管道的更廣泛趨勢。

Jamf Threat Labs 揭露 PamStealer 散佈手法

根據 Jamf Threat Labs,該活動使用一個外觀相似的網站來散佈一個包含名為 Maccy.scpt 的惡意 AppleScript 檔案的磁碟映像檔。當開啟時,該檔案會顯示指示,告訴用戶在 Apple 的 Script Editor 中執行它,同時在文件更下方隱藏惡意程式碼。

「我們將此惡意軟體追蹤命名為 PamStealer,源自其核心行為之一:在竊取受害者登入密碼之前,先透過 macOS 可插拔認證模組(PAM)進行驗證。」Jamf Threat Labs 在報告中寫道。

Jamf Threat Labs 總監 Jaron Bradley 告訴 Decrypt,攻擊者一直在購買 Google 廣告空間來引誘用戶造訪惡意應用程式。「我們最近也觀察到 X 平台上出現惡意廣告,」Bradley 說,「這些社交工程手法已被證明非常成功。」

PamStealer 採用先進規避技術

該惡意軟體使用 JavaScript for Automation 以及原生 macOS API 來下載第二階段載荷,而無需依賴常見的 shell 工具(如 curl 或 zsh),從而減少安全工具可觀察到的程序數量。

根據報告,第二階段是一個以 Rust 為基礎的二進位檔,專為 Apple Silicon Mac 設計,偽裝成 Finder 或 Software Update。該公司表示:「下載器並非以明文儲存其配置,而是從主機的指紋(包括其 CPU 架構、地區設定、鍵盤佈局和時區)推導出一個金鑰,並用它來解鎖一個包含載荷 URL 和安裝路徑的加密且經過完整性檢查的配置。」

如果惡意軟體無法驗證自己是在預期目標上執行,它會悄悄關閉。

惡意軟體功能包括憑證竊取與持續潛伏

一旦安裝,該惡意軟體可以竊取瀏覽器憑證和鑰匙圈資料、監控剪貼簿內容、建立持續性,並使用加密通訊將竊取的資訊發送到遠端命令與控制伺服器。

該惡意軟體會顯示一個假的 Finder 警示,要求用戶授予完整磁碟存取權限,藉此擴大其存取範圍。提示訊息可能在使用者感染後長達 40 分鐘才出現,使得用戶不太可能將其與原始下載聯想在一起。一旦獲得授權,惡意軟體即可存取受保護的資料,包括郵件、訊息和 Time Machine 備份。

根據 Bradley 的說法,Jamf 尚未觀察到 PamStealer 在實際環境中活躍的任何證據。該公司已將其發現通知 Apple。Apple 並未立即回覆 Decrypt 的評論請求。

Jamf 識別出相關的 X 平台活動

Jamf 表示,它觀察到類似的社交工程手法蔓延到其他平台。上週在一則 X 貼文中,該公司表示正在調查 X 上一則推廣 DynamicLake 的贊助廣告,該廣告將用戶重新導向至 dynamicmacisland[.]com,並指示他們開啟終端機並執行安裝指令。

「該廣告是透過一個經過驗證的 X 帳戶發布的,為社交工程增添了另一層信任,」該公司寫道。「對載荷的分析顯示,這是一個近期出現的 Atomic (MacSync) 竊取軟體變種。」

發現反映更廣泛的惡意軟體趨勢

這項發現正值攻擊者越來越多地將惡意軟體偽裝成合法軟體,並濫用受信賴的開發者平台與廣告管道之際。近期的活動包括一個假的 OpenAI 儲存庫,在散佈 Rust 語言資訊竊取軟體之前登上 Hugging Face 熱門專案榜首;一個惡意的 Visual Studio Code 擴充功能,GitHub 表示該擴充功能暴露了約 3800 個內部儲存庫;以及針對包括 OpenAI 和 Mistral AI 在內的人工智慧公司所用開發工具的 Shai-Hulud 軟體供應鏈活動。

常見問題

什麼是 PamStealer 惡意軟體?它如何針對 Mac 用戶?

PamStealer 是 Jamf Threat Labs 發現的一款 Rust 語言 macOS 資訊竊取軟體,偽裝成開源剪貼簿管理器 Maccy。該惡意軟體透過一個假網站散佈,該網站提供惡意 AppleScript 檔案。它會先透過 macOS 可插拔認證模組(PAM)驗證受害者的登入密碼,然後才竊取瀏覽器憑證、鑰匙圈資料,並監控剪貼簿內容。

PamStealer 如何避免被安全工具偵測?

根據 Jamf Threat Labs,PamStealer 使用 JavaScript for Automation 以及原生 macOS API 來下載第二階段載荷,而無需依賴常見的 shell 工具(如 curl 或 zsh),從而減少安全工具可觀察到的程序數量。該惡意軟體還會從主機的指紋推導出一個金鑰,以解鎖加密的配置,如果無法驗證自己在預期目標上執行,則會自行關閉。

Jamf 是否觀察到 PamStealer 被用於實際攻擊?

根據 Jamf Threat Labs 總監 Jaron Bradley 的說法,Jamf 尚未觀察到 PamStealer 在實際環境中活躍的任何證據。該公司已將其發現通知 Apple,但 Apple 並未立即回覆 Decrypt 的評論請求。

免責聲明:本頁面資訊可能來自第三方來源,僅供參考,不代表 Gate 的立場或觀點,亦不構成任何財務、投資或法律建議。虛擬資產交易具有高風險,請勿僅依賴本頁資訊作出決策。詳情請參閱 免責聲明
回覆
0/400
暫無回覆