假冒的Mac剪贴板应用程序提供新的密码窃取恶意软件

CN
Decrypt
关注
1小时前

根据网络安全公司 Jamf Threat Labs 的报告,搜索开源剪贴板管理器 Maccy 的 Mac 用户正受到一个伪造版本的应用程序的攻击,该应用程序安装了一个新的基于 Rust 的信息窃取者,名为 PamStealer。如果成功,该恶意软件可能会窃取用户的密码和加密钱包密钥。


在周四发布的一份 报告中,Jamf Threat Labs表示,该活动使用一个相似的网站来分发包含恶意 AppleScript 文件 Maccy.scpt 的磁盘映像。打开后,该文件会显示指示,告诉用户在苹果的 Script Editor 中运行它,同时在文档的更低部分隐藏恶意代码。


“我们将这种恶意软件命名为 PamStealer,源于其核心行为之一:通过 macOS 可插入身份验证模块 (PAM) 验证受害者的登录密码,然后进行收集,”Jamf Threat Labs 写道。


从那里,恶意软件使用 JavaScript 自动化和原生 macOS API 下载第二阶段有效载荷,而无需依赖常见的 shell 工具,如 curl 或 zsh,从而减少安全工具可以观察到的进程数量。





“在许多窃取者中,我们看到攻击者购买 Google 广告空间以诱使用户下载恶意应用。我们最近也观察到在 X 上托管的恶意广告,”Jamf Threat Labs 主管 Jaron Bradley 告诉 Decrypt。“这些社会工程技术已经证明非常成功。”


根据报告,第二阶段是一个为 Apple Silicon Mac 设计的基于 Rust 的二进制文件,伪装成 Finder 或软件更新。


“该投放程序并没有以明文方式存储其配置,而是从主机的指纹中衍生出一个密钥,包括其 CPU 架构、地区、键盘布局和时区,并用它来解锁包含有效载荷 URL 和安装路径的加密的、完整性检查的配置,”该公司说道。


一旦安装,恶意软件可以窃取浏览器凭据和钥匙串数据,监视剪贴板内容,建立持久性,并使用加密通信将窃取的信息发送到远程指挥与控制服务器。如果它无法验证自己运行在目标设备上,那么它就会静默地关闭自己。


该恶意软件还尝试通过显示一个虚假的 Finder 警告,请求用户授予完全磁盘访问权限来扩大其访问范围。该提示可能在感染后最多出现 40 分钟,从而降低用户将其与原始下载关联的可能性。如果获准,恶意软件可以访问受保护的数据,包括邮件、消息和时间机器备份。


据 Bradley 说,Jamf 还没有观察到 PamStealer 在野外活跃的证据;然而,该公司已向苹果通报了其发现情况。苹果并未立即对 Decrypt 的评论请求作出回应。


Jamf 表示,它正看到类似的社会工程技术传播到其他平台。


在上周的一条 X 帖子中,该公司表示它正在调查一个在 X 上促销 DynamicLake 的赞助广告,该广告将用户重定向到 dynamicmacisland[.]com,并指示他们打开终端并执行安装命令。


“该广告是通过一个经过验证的 X 账户发布的,为社会工程增加了另一层信任,”该公司写道。“对有效载荷的分析揭示了一个最近的 Atomic (MacSync) Stealer 变体。”


这些发现表明,攻击者越来越倾向于将恶意软件伪装成合法软件,滥用受信任的开发者平台和广告渠道。最近的活动还包括一个伪造的 OpenAI 代码库,该代码库在 Hugging Face 的热门项目中位居首位,随后分发了一个基于 Rust 的信息窃取者,GitHub 表示一个恶意的 Visual Studio Code 扩展暴露了大约 3,800 个内部代码库,还有 Shai-Hulud 软件供应链活动,目标是 AI 公司使用的开发工具,包括 OpenAI 和 Mistral AI。


免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。

分享至:
APP下载

X

Telegram

Facebook

Reddit

复制链接