新型 macOS 惡意軟件 PamStealer 針對 Maccy 剪貼板管理器用户進行攻擊

根據 Macworld 的報導,Jamf Threat Labs 發現了一種名為 PamStealer 的新型 macOS 惡意軟件,該軟件針對使用 Maccy 剪貼簿管理器的用户,通過偽造網站散佈惡意的 Apple Script 文件。這種精密的惡意軟件利用安靜的執行鏈,通過 macOS 可插拔身份驗證模組(PAM)來竊取登錄密碼,從而使檢測變得困難。用户應僅從官方的 maccy.app 網站或 GitHub 下載 Maccy,避免可疑鏈接,並使用 Mac App Store 進行更安全的軟件安裝。

PamStealer 惡意軟件的傳播方式

Jamf Threat Labs 發佈了一份報告,提醒第三方剪貼簿管理器 Maccy 的用户注意新型惡意軟件。該惡意軟件名為 PamStealer,通過冒充真實的 Maccy 網站的惡意網站進行散佈,下載的文件欺騙訪問者以為他們獲得了合法的 Maccy 文件。這些偽造的文件是名為 Maccy.scpt 的 Apple Script 文件,看似合法的安裝文件,並以磁碟映像的形式分發。

如果用户運行該腳本,則會被指示執行該腳本,然後觸發有效載荷,這可以追蹤用户的 Mac 上的信息並將其發送給威脅代理。PamStealer 的名稱正是因為該惡意軟件通過 macOS 可插拔身份驗證模組驗證受害者的登錄密碼。

為了避免下載惡意文件,Maccy 用户應確保訪問的是 maccy.app 網站。根據該網站上的聲明,「maccy.app 是唯一的官方網站」。用户還可以訪問 Maccy 的 GitHub 網站 https://github.com/p0deje/Maccy,該網站也指出「maccy.app 是唯一的官方網站」。Maccy 是一款免費的開源剪貼簿管理器,能夠追蹤剪貼簿歷史。

Apple 最近在 macOS Tahoe 中通過 Spotlight 引入了剪貼簿歷史追蹤器,因此這些第三方管理器在高級用户中頗受歡迎。

保護自己免受惡意軟件的最佳方法

然而,正如 Jamf 所解釋的,這一特定威脅的傳遞機制可能對不僅僅是這個應用程序產生深遠的影響。儘管磁碟映像和基於 Apple Script 的惡意軟件在 macOS 上已經相對成熟,但 PamStealer 將它們以有趣的方式結合起來。該 Apple Script 並未依賴於如 curl 或 zsh 等 shell 命令,而是執行一個自包含的自動化 JavaScript(JXA)下載器,該下載器使用原生 Objective-C API 檢索並準備有效載荷。

結合一個基於 Rust 的第二階段和一個通過 PAM 本地驗證憑據的密碼捕獲工作流程,最終形成了一條比我們通常觀察到的商品化 macOS 盜竊者更安靜的執行鏈。

報告深入探討了攻擊如何欺騙用户,並得出結論:「這些行為共同顯示商品化 macOS 盜竊者如何持續進化,採用更安靜的執行鏈和原生實現,減少傳統檢測機會,同時與標準的 macOS 功能保持兼容。」

為了保護自己免受惡意軟件的侵害,最簡單的方法是避免從不熟悉的下載網站下載軟件。切勿打開來自未知和意外來源的電子郵件或短信中的鏈接。如果您收到的消息看似來自您有往來的實體,請檢查發件人的電子郵件地址並仔細檢查 URL。如果看到鏈接或按鈕,您可以按住 Control 鍵點擊,選擇「複製鏈接地址」,然後將其粘貼到文本編輯器中以查看實際的 URL。

Apple 在 Mac App Store 中審核過的軟件是獲取應用的最安全方式。如果您不希望使用 Mac App Store,則可以直接從開發人員及其網站購買軟件。如果您堅持使用破解軟件,則始終存在惡意軟件的風險。Macworld 提供了幾個指導,包括一份有關是否需要防病毒軟件的指南、一份 Mac 病毒、惡意軟件和木馬的列表,以及一份 Mac 安全軟件的比較。

作者:Roman Loyola,Macworld 高級編輯。Roman 是 Macworld 的高級編輯,擁有超過 30 年的技術行業報導經驗,專注於 Apple 生態系統中的 Mac 和其他產品。他同時也是 Macworld 播客的主持人。他的職業生涯始於 MacUser,當時他獲得了 Apple 認證的維修技術員資格(當 Apple 進行這種認證時)。他還曾在 MacAddict、MacLife 和 TechTV 工作。

Henderson
Henderson

Henderson 是 TechRitual Hong Kong 科技編輯,專注報導智能手機、消費電子產品、SIM 卡及流動通訊市場。自加入 TechRitual 以來,累計撰寫數千篇科技報導及產品評測,內容同步發佈至 SINA 及 Yahoo Tech 等主要平台。

友情網站:日本語版 / TechNipponThe Base Principle(AI・工程)