根据网络安全公司 Jamf Threat Labs 的说法,搜索开源剪贴板管理器 Maccy 的 Mac 用户正成为该应用程序假冒版本的目标,该应用程序安装了一个名为 PamStealer 的新的基于 Rust 的信息窃取程序。如果成功,恶意软件可以窃取用户的密码和加密钱包密钥。
在周四发布的报告中,Jamf Threat Labs 表示,该活动使用一个相似的网站来分发包含名为 Maccy.scpt 的恶意 AppleScript 文件的磁盘映像。打开后,该文件会显示说明,告诉用户在 Apple 的脚本编辑器中运行它,同时将恶意代码隐藏在文档的下方。
“我们正在以 PamStealer 的名义跟踪该恶意软件,因为它的核心行为之一是:在获取受害者的登录密码之前通过 macOS 可插入身份验证模块 (PAM) 验证受害者的登录密码,”Jamf 威胁实验室写道。
从那里,恶意软件使用JavaScript进行自动化和本机macOS API来下载第二阶段的有效负载,而不依赖于常见的shell实用程序(例如curl或zsh),从而减少了安全工具可以观察到的进程数量。
“对于许多窃取者,我们看到攻击者购买 Google 广告空间来引诱用户使用恶意应用。我们最近观察到 X 上也托管了恶意广告,”Jamf 威胁实验室总监 Jaron Bradley 告诉 Decrypt。 “这些社会工程技术已被证明非常成功。”
根据该报告,第二阶段是一个基于 Rust 的二进制文件,专为 Apple Silicon Mac 设计,伪装成 Finder 或软件更新。
“该植入程序不是以明文形式存储其配置,而是从主机的指纹(包括其 CPU 架构、区域设置、键盘布局和时区)中获取密钥,并使用它来解锁包含负载 URL 和安装路径的加密的、经过完整性检查的配置,”该公司表示。
该恶意软件还尝试通过显示虚假的 Finder 警报来扩展其访问权限,要求用户授予完全磁盘访问权限。该提示可能会在感染后最多 40 分钟内出现,从而使用户不太可能将其与原始下载关联起来。如果获得批准,恶意软件可以访问受保护的数据,包括邮件、消息和时间机器备份。
根据 Bradley 的说法,Jamf 尚未观察到任何 PamStealer 在野外活跃的证据;然而,该公司将其调查结果通知了苹果。苹果没有立即回应 Decrypt 的置评请求。
Jamf 表示,类似的社交工程技术正在传播到其他平台。
在上周的 X 帖子中,该公司表示正在调查 X 上宣传 DynamicLake 的赞助广告,该广告将用户重定向到dynamicmacisland[.]com,在那里他们被指示打开终端并执行安装命令。
“该广告是通过经过验证的 X 帐户投放的,为社会工程增加了另一层信任,”该公司写道。 “对有效负载的分析揭示了最近的 Atomic (MacSync) Stealer 变体。”
调查结果发布之际,攻击者越来越多地将恶意软件伪装成合法软件并滥用受信任的开发者平台和广告渠道。最近的活动包括一个虚假的 OpenAI 存储库,该存储库在分发基于 Rust 的 infostealer 之前已达到 Hugging Face 趋势项目的顶部,这是一个恶意的 Visual Studio Code 扩展,GitHub 表示该扩展暴露了大约 3,800 个内部存储库,以及 Shai-Hulud 软件供应链活动针对人工智能公司使用的开发工具,包括 OpenAI 和 Mistral AI。
