Jamf 指出,PamStealer 攻击活动分为两个主要阶段。攻击者首先建立了一个模仿 Maccy 官方网站的假冒站点,并利用搜索引擎广告投放策略来提高该仿冒网站的搜索排名,从而诱导不知情的用户点击并下载恶意软件。
一旦用户下载并启动了包含恶意软件的软件包,其中的 AppleScript 脚本便会启动。该脚本首先会检测运行环境,以确认不是在沙盒内执行。随后,它会利用 macOS 的 PAM(Pluggable Authentication Modules)认证机制,弹出系统自带的管理员密码输入窗口,要求用户输入其管理员凭据。
当用户输入管理员密码后,该软件包便会从攻击者控制的服务器下载 PamStealer 恶意木马。这款恶意软件以 Rust 语言编写,能够伪装成 macOS 的文件管理工具“访达(Finder)”。在执行后,它会开始收集用户设备上的浏览器数据、加密货币钱包信息以及剪贴板内容等敏感数据。收集并加密完这些信息后,木马会将数据上传至攻击者的服务器,以便后续进行勒索活动。
发表评论