Fałszywa aplikacja do schowka Maca dostarcza nowe złośliwe oprogramowanie kradnące hasła
Użytkownicy Maca poszukujący menedżera schowka open-source Maccy są celem fałszywej wersji aplikacji, która instaluje nowe złośliwe oprogramowanie oparte na Rust, nazwane PamStealer, według firmy zajmującej się cyberbezpieczeństwem Jamf Threat Labs. Jeśli atak się powiedzie, złośliwe oprogramowanie może ukraść hasła użytkowników oraz klucze portfeli kryptowalutowych.
W raporcie opublikowanym w czwartek, Jamf Threat Labs poinformowało, że kampania wykorzystuje stronę internetową przypominającą oryginalną, aby dystrybuować obraz dysku zawierający złośliwy plik AppleScript o nazwie Maccy.scpt. Po otwarciu plik wyświetla instrukcje mówiące użytkownikom, aby uruchomili go w Edytorze skryptów Apple, ukrywając złośliwy kod dalej w dokumencie.
"Śledzimy to złośliwe oprogramowanie pod nazwą PamStealer ze względu na jedno z jego podstawowych zachowań: weryfikację hasła logowania ofiary za pomocą modułów uwierzytelniania pluggable (PAM) w macOS przed jego zebraniem," napisało Jamf Threat Labs.
Następnie złośliwe oprogramowanie wykorzystuje JavaScript do automatyzacji i natywne API macOS, aby pobrać ładunek drugiego etapu bez polegania na powszechnych narzędziach powłoki, takich jak curl czy zsh, co zmniejsza liczbę procesów, które narzędzia zabezpieczające mogą obserwować.
"W przypadku wielu kradzieży widzieliśmy, jak napastnicy kupują przestrzeń reklamową Google, aby zwabić użytkowników do złośliwej aplikacji. Ostatnio zaobserwowaliśmy również złośliwe reklamy hostowane na X," powiedział dyrektor Jamf Threat Labs Jaron Bradley w rozmowie z Decrypt. "Te techniki inżynierii społecznej okazały się bardzo skuteczne."
Według raportu, drugi etap to binarny plik oparty na Rust, zaprojektowany dla komputerów Mac z Apple Silicon, który maskuje się jako Finder lub Aktualizacja oprogramowania.
"Zamiast przechowywać swoją konfigurację w postaci tekstu jawnego, dropper wyprowadza klucz z odcisku palca hosta - w tym jego architekturę CPU, lokalizację, układ klawiatury i strefę czasową - i używa go do odblokowania zaszyfrowanej, sprawdzanej pod kątem integralności konfiguracji zawierającej adres URL ładunku i ścieżkę instalacji," powiedziała firma.
Po zainstalowaniu złośliwe oprogramowanie może kraść dane logowania przeglądarki i dane Keychain, monitorować zawartość schowka, ustanawiać trwałość i wysyłać skradzione informacje do zdalnego serwera dowodzenia i kontroli za pomocą szyfrowanej komunikacji. Jeśli nie może zweryfikować, że działa na zamierzonym celu, cicho się wyłącza.
Złośliwe oprogramowanie również stara się rozszerzyć swój dostęp, wyświetlając fałszywy alert Findera, prosząc użytkowników o przyznanie pełnego dostępu do dysku. Powiadomienie może pojawić się do 40 minut po infekcji, co sprawia, że jest mniej prawdopodobne, że użytkownicy powiążą je z oryginalnym pobraniem. Jeśli zostanie zatwierdzone, złośliwe oprogramowanie może uzyskać dostęp do chronionych danych, w tym Mail, Wiadomości i kopii zapasowych Time Machine.
Według Bradleya, Jamf nie zaobserwowało żadnych dowodów na to, że PamStealer jest aktywne w dzikiej przyrodzie; jednak firma powiadomiła Apple o swoich ustaleniach. Apple nie odpowiedziało od razu na prośbę o komentarz od Decrypt.
Jamf powiedział, że widzi podobne techniki inżynierii społecznej rozprzestrzeniające się na inne platformy.
W poście na X w zeszłym tygodniu firma powiedziała, że badała sponsorowaną reklamę na X promującą DynamicLake, która przekierowywała użytkowników do dynamicmacisland.com, gdzie instruowano ich, aby otworzyli Terminal i wykonali polecenie instalacji.
"Reklama została dostarczona przez zweryfikowane konto X, co dodało kolejny poziom zaufania do inżynierii społecznej," napisała firma. "Analiza ładunku ujawniła niedawny wariant Atomic (MacSync) Stealer."
Ustalenia te pojawiają się w momencie, gdy napastnicy coraz częściej maskują złośliwe oprogramowanie jako legalne oprogramowanie i nadużywają zaufanych platform deweloperskich oraz kanałów reklamowych. Ostatnie kampanie obejmowały fałszywe repozytorium OpenAI, które dotarło na szczyt trendujących projektów Hugging Face przed dystrybucją złośliwego oprogramowania opartego na Rust, złośliwe rozszerzenie Visual Studio Code, które GitHub powiedział, że ujawnia około 3,800 wewnętrznych repozytoriów, oraz kampanię dostawczą Shai-Hulud, która celowała w narzędzia deweloperskie używane przez firmy AI, w tym OpenAI i Mistral AI.
Zastrzeżenie: Niniejsze treści mają wyłącznie charakter informacyjny i służą celom promocyjnym. Nie stanowią porady finansowej, inwestycyjnej, prawnej ani podatkowej. Wszelkie wydarzenia, nagrody, wydarzenia online oraz powiązane z nimi informacje nie stanowią rekomendacji, zachęty ani zaproszenia do kupna, sprzedaży, handlu lub dokonywania innych transakcji na aktywach cyfrowych ani do korzystania z jakichkolwiek usług. Kryptowaluty cechują się wysoką zmiennością i mogą prowadzić do utraty środków. Usługi WEEX oraz wydarzenia online mogą nie być dostępne we wszystkich regionach i podlegają obowiązującym przepisom prawa, regulacjom oraz wymogom kwalifikacyjnym. Użytkownik ponosi odpowiedzialność za zapewnienie zgodności korzystania z usług WEEX z lokalnymi przepisami prawa oraz za staranną ocenę ryzyka przed podjęciem jakichkolwiek działań związanych z kryptowalutami.
Możesz również polubić

Wywiad z SemiAnalysis: Przechowywanie ma jeszcze przestrzeń na podwojenie, ostrożnie z CPO w krótkim i średnim okresie, CPU to tylko drugi plan

FDV a kapitalizacja rynkowa: Dwa liczby, które decydują, czy token jest tani

Czy Ethereum naprawdę jest „komputerem świata”?

Inwestor o 17 ocenach dotyczących ucieleśnienia, modeli i mocy obliczeniowej

Pułapka arbitrażu intelektualnego Bittensor: kapitał tylko spekuluje na tokenach, nikt nie kupuje jakościowego AI

Adresy portfeli w Litecoin wzrosły o ponad 22 miliony w zaledwie 6 miesięcy

Shiba Inu: Po przerwie projekty Eternity i Metaverse przygotowują swój powrót

Czym są drainerzy portfeli? Wnętrze przemysłu phishingu zatwierdzającego

Nadeszła era handlu AI: LTP wprowadza pierwsze na świecie mistrzostwa w handlu ilościowym z agentem AI

Czy zmiana łańcucha naprawdę może „odwrócić los”?

Revolut integruje swoją giełdę kryptowalut z asystentami AI, gdy handel agentowy się rozwija

DOJ oskarża więźnia o rzekome kradzieże kryptowalut o wartości 290 tys. dolarów

Wzrost wolumenu transakcji w czerwcu: Ekosystem x402 wciąż się rozwija, narracja dotycząca monetyzacji treści staje przed kluczowym wyzwaniem

Waszyngton „jednolita front”, czy chodzi o obniżenie stóp procentowych?

Porównanie białych ksiąg Ethereum i Solana (2026)

Francuska technologia: Wzrost AI i kwantów, brak kryptowalut

Domowy robot humanoidalny NEO zyskał "zwinne ręce": jak ręce stały się API do fizycznego świata?

Czym jest SCEX? Giełda aktywów kryptograficznych dla rynku wietnamskiego od Sacombank

Wielka aktualizacja ChatGPT: Może pracować na wielu platformach, tworzyć strony internetowe jednym kliknięciem i jest tańszy

BTC przekracza 63 000, stawia czoła 64 000, rynek handluje "kontrolowanym ryzykiem"

Gdy bańka pęka, kto dominuje w erze AI? Przewodnik po wpływowych KOL-ach AI w Chinach i Wielkiej Brytanii na rok 2026

Stare pieniądze w kryptowalutach zmieniają kierunek: Paradigm zbiera 1,2 miliarda dolarów, połowa na AI i robotykę

Bitdeer ujawnia fabrykę za 36 milionów dolarów w Nevadzie, aby zrewolucjonizować wydobycie Bitcoina

Perplexity dostosowało chiński model AI, aby dorównał Claude Opus 4.8 za jedną trzecią kosztów

Bank of Korea broni planu stabilnej waluty opartej na bankach w obliczu impasu legislacyjnego

JPMorgan twierdzi, że głównym ryzykiem dla bitcoina nie jest strategia, lecz adopcja blockchaina, która nie przynosi korzyści publicznym łańcuchom i tokenom

Posłowie Partii Pracy dążą do wprowadzenia stałego zakazu darowizn kryptowalutowych w Wielkiej Brytanii

Orzeczenie Sądu Najwyższego rozszerzające władzę Trumpa nad agencjami federalnymi rodzi pytania dla SEC i CFTC w miarę postępu regulacji kryptowalut

'Budowanie dna w toku': Analitycy mówią, że kapitulacja posiadaczy bitcoinów sygnalizuje późny etap rynku niedźwiedzia










