返回首頁

偽裝成 Maccy 剪貼簿工具:資安研究員揭露新型 Rust 惡意軟體 PamStealer

編輯核心觀點

  • 資安公司 Jamf Threat Labs 發現名為 PamStealer 的新型惡意軟體,偽裝成開源剪貼簿管理工具 Maccy 誘騙使用者下載。
  • 該惡意軟體會利用 macOS 的 PAM 機制驗證使用者密碼,並竊取瀏覽器憑證、Keychain 資料及加密貨幣錢包金鑰。
  • 攻擊者透過搜尋引擎廣告與社群平台 X 的贊助貼文進行社交工程,並利用加密配置檔躲避資安工具偵測。
偽裝成 Maccy 剪貼簿工具:資安研究員揭露新型 Rust 惡意軟體 PamStealer

偽裝成熱門軟體,竊取密碼與錢包金鑰

資安研究機構 Jamf Threat Labs 近期發布報告指出,駭客正針對 macOS 使用者發動攻擊,目標是那些搜尋開源剪貼簿管理工具「Maccy」的用戶。駭客架設了仿冒網站,誘騙使用者下載包含惡意腳本「Maccy.scpt」的磁碟映像檔。一旦使用者執行該腳本,惡意程式便會啟動。

研究人員將此惡意軟體命名為 PamStealer,其核心特徵在於會利用 macOS 的「可插拔驗證模組(PAM)」來驗證使用者的登入密碼,隨後將其竊取。Jamf Threat Labs 表示:

我們將此惡意軟體追蹤為 PamStealer,源於其核心行為之一:在竊取受害者登入密碼前,會先透過 macOS 的 PAM 機制進行驗證。

隱蔽的攻擊手法:避開資安監控

PamStealer 採用了多重隱蔽手段以規避偵測。它不依賴常見的系統工具(如 curl 或 zsh),而是使用 JavaScript 自動化技術與原生 macOS API 來下載第二階段的惡意酬載。此外,該軟體針對 Apple Silicon 晶片設計,會偽裝成系統的「Finder」或「軟體更新」程序。

為了防止被資安分析人員拆解,該程式的配置檔並非以明文儲存,而是透過主機的 CPU 架構、地區設定、鍵盤佈局與時區等資訊生成加密金鑰,進而解鎖包含惡意連結與安裝路徑的加密配置檔。若程式偵測到執行環境不符合預期目標,便會自動靜默關閉。

社交工程與權限擴張

除了偽裝軟體,駭客還會利用假冒的 Finder 警示視窗,誘騙使用者授予「全磁碟存取權(Full Disk Access)」。Jamf Threat Labs 指出,該視窗有時會在感染後 40 分鐘才跳出,降低使用者將其與原始下載行為連結的機率。一旦取得權限,惡意軟體即可存取郵件、訊息以及 Time Machine 備份資料。

Jamf Threat Labs 總監 Jaron Bradley 向《Decrypt》表示,攻擊者越來越常利用購買廣告版位來散佈惡意軟體,這類社交工程手法在 Google 與 X(前身為 Twitter)上均有出現,且成效顯著。

目前,Jamf 尚未發現 PamStealer 在野外大規模擴散的證據,但已將研究結果通報給 Apple。此外,研究人員也觀察到類似的社交工程手法正擴散至其他平台,例如近期在 X 上發現有經認證的帳號投放贊助廣告,誘騙使用者執行終端機指令以安裝 Atomic Stealer 的變種程式。

資料來源

本文由 AI 綜合上述來源編譯整理,內容僅供參考;著作權歸原出處所有。

相關文章