Ứng dụng Clipboard giả mạo trên Mac phát tán phần mềm độc hại đánh cắp mật khẩu mới

By: rootdata|2026/07/05 15:46:01
0
Chia sẻ
copy

Người dùng Mac đang tìm kiếm trình quản lý clipboard mã nguồn mở Maccy đang bị nhắm mục tiêu bởi một phiên bản giả mạo của ứng dụng này, cài đặt một phần mềm độc hại mới dựa trên Rust có tên PamStealer, theo báo cáo của công ty an ninh mạng Jamf Threat Labs. Nếu thành công, phần mềm độc hại này có thể đánh cắp mật khẩu và khóa ví tiền điện tử của người dùng.

Trong một báo cáo được công bố vào thứ Năm, Jamf Threat Labs cho biết chiến dịch này sử dụng một trang web giống hệt để phân phối một hình ảnh đĩa chứa một tệp AppleScript độc hại có tên Maccy.scpt. Khi được mở, tệp này hiển thị hướng dẫn yêu cầu người dùng chạy nó trong Script Editor của Apple trong khi ẩn mã độc ở phần dưới của tài liệu.

"Chúng tôi đang theo dõi phần mềm độc hại này dưới tên PamStealer sau một trong những hành vi cốt lõi của nó: xác thực mật khẩu đăng nhập của nạn nhân thông qua các Mô-đun Xác thực Có thể Cắm (PAM) của macOS trước khi thu thập nó," Jamf Threat Labs viết.

Từ đó, phần mềm độc hại sử dụng JavaScript cho Tự động hóa và các API macOS gốc để tải xuống một tải trọng giai đoạn hai mà không dựa vào các tiện ích shell thông thường như curl hoặc zsh, giảm số lượng quy trình mà các công cụ bảo mật có thể quan sát.

"Với nhiều phần mềm đánh cắp, chúng tôi đã thấy các kẻ tấn công mua không gian quảng cáo Google để dụ dỗ người dùng đến ứng dụng độc hại. Gần đây, chúng tôi cũng đã quan sát thấy các quảng cáo độc hại được đăng trên X," Giám đốc Jamf, Jaron Bradley, nói với Decrypt. "Những kỹ thuật kỹ thuật xã hội này đã chứng minh là rất thành công."

Theo báo cáo, giai đoạn thứ hai là một tệp nhị phân dựa trên Rust được thiết kế cho các máy Mac Apple Silicon, ngụy trang thành Finder hoặc Cập nhật Phần mềm.

"Thay vì lưu trữ cấu hình của nó dưới dạng văn bản rõ ràng, phần mềm độc hại này lấy một khóa từ dấu vân tay của máy chủ---bao gồm kiến trúc CPU, ngôn ngữ, bố cục bàn phím và múi giờ---và sử dụng nó để mở khóa một cấu hình được mã hóa, kiểm tra tính toàn vẹn chứa URL tải trọng và đường dẫn cài đặt," công ty cho biết.

Khi được cài đặt, phần mềm độc hại có thể đánh cắp thông tin đăng nhập trình duyệt và dữ liệu Keychain, theo dõi nội dung clipboard, thiết lập tính bền vững và gửi thông tin bị đánh cắp đến một máy chủ điều khiển từ xa sử dụng giao tiếp mã hóa. Nếu nó không thể xác minh rằng nó đang chạy trên mục tiêu dự kiến, nó sẽ tự động tắt một cách lặng lẽ.

Phần mềm độc hại cũng cố gắng mở rộng quyền truy cập của nó bằng cách hiển thị một cảnh báo Finder giả mạo yêu cầu người dùng cấp Quyền Truy cập Toàn bộ Đĩa. Thông báo này có thể xuất hiện lên đến 40 phút sau khi nhiễm, làm cho khả năng người dùng liên kết nó với việc tải xuống ban đầu trở nên thấp hơn. Nếu được chấp thuận, phần mềm độc hại có thể truy cập dữ liệu được bảo vệ, bao gồm Mail, Tin nhắn và sao lưu Time Machine.

Theo Bradley, Jamf chưa quan sát thấy bất kỳ bằng chứng nào cho thấy PamStealer đang hoạt động trong tự nhiên; tuy nhiên, công ty đã thông báo cho Apple về những phát hiện của mình. Apple đã không ngay lập tức phản hồi yêu cầu bình luận từ Decrypt.

Jamf cho biết họ đang thấy các kỹ thuật kỹ thuật xã hội tương tự lan rộng sang các nền tảng khác.

Trong một bài đăng trên X vào tuần trước, công ty cho biết họ đang điều tra một quảng cáo tài trợ trên X quảng bá DynamicLake mà đã chuyển hướng người dùng đến dynamicmacisland.com, nơi họ được hướng dẫn mở Terminal và thực hiện một lệnh cài đặt.

"Quảng cáo này được gửi qua một tài khoản X đã được xác minh, thêm một lớp tin cậy khác vào kỹ thuật xã hội," công ty viết. "Phân tích tải trọng cho thấy một biến thể gần đây của Atomic (MacSync) Stealer."

Những phát hiện này diễn ra khi các kẻ tấn công ngày càng ngụy trang phần mềm độc hại dưới dạng phần mềm hợp pháp và lạm dụng các nền tảng phát triển đáng tin cậy và kênh quảng cáo. Các chiến dịch gần đây đã bao gồm một kho lưu trữ OpenAI giả mạo đã đạt đến vị trí hàng đầu trong các dự án đang thịnh hành của Hugging Face trước khi phân phối một phần mềm đánh cắp thông tin dựa trên Rust, một tiện ích mở rộng Visual Studio Code độc hại mà GitHub cho biết đã phơi bày khoảng 3.800 kho lưu trữ nội bộ, và chiến dịch chuỗi cung ứng phần mềm Shai-Hulud nhắm vào các công cụ phát triển được sử dụng bởi các công ty AI bao gồm OpenAI và Mistral AI.

Giá --

--

Bạn cũng có thể thích

iconiconiconiconiconiconicon
Bộ phận CSKH:@weikecs
Hợp tác kinh doanh:@weikecs
Giao dịch Định lượng & MM:[email protected]
Chương trình VIP:[email protected]