區塊鏈

Mac用戶遭假冒「Maccy」安裝器攻擊 傳播PamStealer竊取密碼與加密錢包數據

金色財經

網路犯罪分子正利用一款廣受歡迎的開源 macOS 實用工具的聲譽,傳播一種新發現的資訊竊取型惡意軟體,這再次引發了人們的擔憂:受信任的軟體品牌竟能如此輕易地被利用來攻擊蘋果用戶。


網路安全公司 Jamf Threat Labs 的研究人員發現了一項惡意活動,該活動通過分發一款名為 Maccy(一款廣泛使用的 Mac 剪貼板管理器)的偽造版本,來安裝一種此前未被記錄的、名為 PamStealer 的惡意軟體變種。



該惡意軟體旨在竊取登錄憑據、加密貨幣錢包資訊及其他敏感用戶數據,其主要依賴社會工程學手段,而非軟體漏洞。

虛假的 Maccy 網站傳播隱藏的惡意軟體

攻擊始於一個冒充正規 Maccy 項目的欺詐網站。


下載該偽造應用程序的受害者會收到一個磁盤映像文件,其中包含一個名為 Maccy.scpt 的編譯版 AppleScript 文件,而不是標準的應用程序安裝程序。


打開該文件後,它會啟動 Apple 的腳本編輯器,並顯示操作說明,誘使用戶按 Command-R 鍵手動執行該腳本。



雖然腳本的可見部分看似無害,但惡意代碼卻隱藏在文檔的更深處。


據 Jamf 威脅實驗室稱,此次攻擊蓄意利用了用戶對熟悉軟體以及蘋果自身內置工具的信任。


研究人員 指出,

「我們根據該惡意軟體的一項核心行為——在竊取受害者登錄密碼之前,先通過 macOS 可插拔身份驗證模塊(PAM)對其進行驗證——將其命名為 PamStealer 並進行追蹤。」


Jamf 發現的該惡意網站使用了 maccyapp[.]com 域名,與 Maccy 官方網站極為相似。



PamStealer 為何要先驗證密碼

與許多僅會捕獲受害者輸入的任何憑據的資訊竊取型惡意軟體家族不同,PamStealer 會先驗證被盜密碼是否正確。


該惡意軟體會向用戶展示一個逼真的 macOS 身份驗證提示框,要求用戶輸入登錄密碼。


它不會立即傳輸憑據,而是通過 macOS 自身的可插拔身份驗證模塊(PAM)系統在本地驗證密碼——該框架也用於驗證合法用戶的登錄。


如果密碼錯誤,提示框會再次出現。



只有在輸入了有效的密碼後,該惡意軟體才會繼續進行數據竊取操作。


這種方法使攻擊者能夠收集經確認有效的憑據,同時避免了傳統資訊竊取器通常收集的大量無效或過期的密碼。


成功獲取密碼後,該惡意軟體會顯示一條虛假的警告消息,聲稱 Maccy 已損壞且無法打開,從而可能降低用戶的懷疑。


macOS原生工具助惡意軟體隱匿行蹤

PamStealer並未依賴curl或zsh等常被監控的命令行工具,而是利用JavaScript for Automation (JXA)、macOS原生API以及Objective-C函數來下載其第二階段有效載荷。


通過規避傳統的 shell 命令,該惡意軟體減少了安全工具通常會監控的可疑進程活動數量。


Jamf 研究人員發現,第二階段有效載荷採用 Rust 語言編寫,並專為 Apple Silicon 處理器編譯。


該惡意軟體偽裝成合法的 macOS 應用程序,包括「訪達」和「軟體更新」,從而使其能夠融入操作系統環境。



為了進一步逃避分析,該惡意軟體利用受感染機器的特徵(包括其處理器架構、語言設置、鍵盤布局和時區)生成一個解密密鑰。


該密鑰可解鎖一個加密的配置文件,其中包含該惡意軟體的操作指令、安裝路徑和遠程服務器資訊。


如果惡意軟體確定其正在非目標系統上運行,它會悄無聲息地自行終止。


專為針對特定受害者而設計

研究人員發現,PamStealer 僅在 Apple Silicon 架構的 Mac 上運行,並刻意避免在獨立國家聯合體(CIS)內多個國家的系統上執行,包括俄羅斯、白俄羅斯、哈薩克斯坦、亞美尼亞、 阿塞拜疆、吉爾吉斯斯坦、摩爾多瓦、塔吉克斯坦、烏茲別克斯坦、土庫曼斯坦和格魯吉亞等國。


該惡意軟體的選擇性行為表明,其營運者正有意限制暴露風險,同時將重點放在被視為更高價值目標的用戶身上,例如那些儲存瀏覽器憑據、加密貨幣錢包及其他敏感資訊的用戶。


被盜數據通過加密的 ChaCha20-Poly1305 通信協議傳輸至遠程指揮控制基礎設施。



PamStealer 能獲得多少訪問權限

一旦安裝,PamStealer 便能竊取瀏覽器憑據、提取鑰匙串數據、監控剪貼板活動,並通過「登錄項目」建立持久性,從而在系統重啟後自動啟動。


該惡意軟體還會通過顯示虛假的「Finder」通知來請求「完全磁盤訪問」權限,從而試圖提升其訪問權限。


研究人員觀察到,該提示可能在初始感染後長達40分鐘才出現,這使得用戶不太可能將其與最初的下載關聯起來。


若獲得該權限,該惡意軟體將能夠訪問高度敏感的資訊,包括電子郵件、消息和「時間機器」備份。


Jamf的研究人員指出,他們尚未發現任何證據表明PamStealer正在野外大規模活躍部署。


該公司已將這一發現通報給蘋果公司。


與此同時,合法項目 Maccy 的開發者已更新其網站,提醒用戶 maccy.app 仍是該應用的唯一官方來源。


安全研究人員還建議用戶僅通過其官方網站、GitHub 代碼庫、Mac App Store 或 Homebrew 下載 Maccy,並將任何需要通過腳本編輯器手動執行的安裝程序視為可疑。


來源:金色財經

發佈者對本文章的內容承擔全部責任
在投資加密貨幣前,請務必深入研究,理解相關風險,並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。

暢行幣圈交易全攻略,專家駐群實戰交流

▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群
不管是新手發問,還是老手交流,只要你想參與加密貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!

前往鉅亨買幣找交易所優惠


section icon

鉅亨講座

看更多
  • 講座
  • 公告

    Empty
    Empty