Fałszywa aplikacja do schowka Maca dostarcza nowe złośliwe oprogramowanie kradnące hasła

By: rootdata|2026/07/05 15:46:01
0
Udostępnij
copy
Oceń nas w GoogleOceń nas w Google

Użytkownicy Maca poszukujący menedżera schowka open-source Maccy są celem fałszywej wersji aplikacji, która instaluje nowe złośliwe oprogramowanie oparte na Rust, nazwane PamStealer, według firmy zajmującej się cyberbezpieczeństwem Jamf Threat Labs. Jeśli atak się powiedzie, złośliwe oprogramowanie może ukraść hasła użytkowników oraz klucze portfeli kryptowalutowych.

W raporcie opublikowanym w czwartek, Jamf Threat Labs poinformowało, że kampania wykorzystuje stronę internetową przypominającą oryginalną, aby dystrybuować obraz dysku zawierający złośliwy plik AppleScript o nazwie Maccy.scpt. Po otwarciu plik wyświetla instrukcje mówiące użytkownikom, aby uruchomili go w Edytorze skryptów Apple, ukrywając złośliwy kod dalej w dokumencie.

"Śledzimy to złośliwe oprogramowanie pod nazwą PamStealer ze względu na jedno z jego podstawowych zachowań: weryfikację hasła logowania ofiary za pomocą modułów uwierzytelniania pluggable (PAM) w macOS przed jego zebraniem," napisało Jamf Threat Labs.

Następnie złośliwe oprogramowanie wykorzystuje JavaScript do automatyzacji i natywne API macOS, aby pobrać ładunek drugiego etapu bez polegania na powszechnych narzędziach powłoki, takich jak curl czy zsh, co zmniejsza liczbę procesów, które narzędzia zabezpieczające mogą obserwować.

"W przypadku wielu kradzieży widzieliśmy, jak napastnicy kupują przestrzeń reklamową Google, aby zwabić użytkowników do złośliwej aplikacji. Ostatnio zaobserwowaliśmy również złośliwe reklamy hostowane na X," powiedział dyrektor Jamf Threat Labs Jaron Bradley w rozmowie z Decrypt. "Te techniki inżynierii społecznej okazały się bardzo skuteczne."

Według raportu, drugi etap to binarny plik oparty na Rust, zaprojektowany dla komputerów Mac z Apple Silicon, który maskuje się jako Finder lub Aktualizacja oprogramowania.

"Zamiast przechowywać swoją konfigurację w postaci tekstu jawnego, dropper wyprowadza klucz z odcisku palca hosta - w tym jego architekturę CPU, lokalizację, układ klawiatury i strefę czasową - i używa go do odblokowania zaszyfrowanej, sprawdzanej pod kątem integralności konfiguracji zawierającej adres URL ładunku i ścieżkę instalacji," powiedziała firma.

Po zainstalowaniu złośliwe oprogramowanie może kraść dane logowania przeglądarki i dane Keychain, monitorować zawartość schowka, ustanawiać trwałość i wysyłać skradzione informacje do zdalnego serwera dowodzenia i kontroli za pomocą szyfrowanej komunikacji. Jeśli nie może zweryfikować, że działa na zamierzonym celu, cicho się wyłącza.

Złośliwe oprogramowanie również stara się rozszerzyć swój dostęp, wyświetlając fałszywy alert Findera, prosząc użytkowników o przyznanie pełnego dostępu do dysku. Powiadomienie może pojawić się do 40 minut po infekcji, co sprawia, że jest mniej prawdopodobne, że użytkownicy powiążą je z oryginalnym pobraniem. Jeśli zostanie zatwierdzone, złośliwe oprogramowanie może uzyskać dostęp do chronionych danych, w tym Mail, Wiadomości i kopii zapasowych Time Machine.

Według Bradleya, Jamf nie zaobserwowało żadnych dowodów na to, że PamStealer jest aktywne w dzikiej przyrodzie; jednak firma powiadomiła Apple o swoich ustaleniach. Apple nie odpowiedziało od razu na prośbę o komentarz od Decrypt.

Jamf powiedział, że widzi podobne techniki inżynierii społecznej rozprzestrzeniające się na inne platformy.

W poście na X w zeszłym tygodniu firma powiedziała, że badała sponsorowaną reklamę na X promującą DynamicLake, która przekierowywała użytkowników do dynamicmacisland.com, gdzie instruowano ich, aby otworzyli Terminal i wykonali polecenie instalacji.

"Reklama została dostarczona przez zweryfikowane konto X, co dodało kolejny poziom zaufania do inżynierii społecznej," napisała firma. "Analiza ładunku ujawniła niedawny wariant Atomic (MacSync) Stealer."

Ustalenia te pojawiają się w momencie, gdy napastnicy coraz częściej maskują złośliwe oprogramowanie jako legalne oprogramowanie i nadużywają zaufanych platform deweloperskich oraz kanałów reklamowych. Ostatnie kampanie obejmowały fałszywe repozytorium OpenAI, które dotarło na szczyt trendujących projektów Hugging Face przed dystrybucją złośliwego oprogramowania opartego na Rust, złośliwe rozszerzenie Visual Studio Code, które GitHub powiedział, że ujawnia około 3,800 wewnętrznych repozytoriów, oraz kampanię dostawczą Shai-Hulud, która celowała w narzędzia deweloperskie używane przez firmy AI, w tym OpenAI i Mistral AI.

Cena --

--

Zastrzeżenie: Niniejsze treści mają wyłącznie charakter informacyjny i służą celom promocyjnym. Nie stanowią porady finansowej, inwestycyjnej, prawnej ani podatkowej. Wszelkie wydarzenia, nagrody, wydarzenia online oraz powiązane z nimi informacje nie stanowią rekomendacji, zachęty ani zaproszenia do kupna, sprzedaży, handlu lub dokonywania innych transakcji na aktywach cyfrowych ani do korzystania z jakichkolwiek usług. Kryptowaluty cechują się wysoką zmiennością i mogą prowadzić do utraty środków. Usługi WEEX oraz wydarzenia online mogą nie być dostępne we wszystkich regionach i podlegają obowiązującym przepisom prawa, regulacjom oraz wymogom kwalifikacyjnym. Użytkownik ponosi odpowiedzialność za zapewnienie zgodności korzystania z usług WEEX z lokalnymi przepisami prawa oraz za staranną ocenę ryzyka przed podjęciem jakichkolwiek działań związanych z kryptowalutami.

Możesz również polubić

iconiconiconiconiconiconiconicon
Obsługa klienta:@weikecs
Współpraca biznesowa:@weikecs
Quant trading i MM:bd@weex.com
Program VIP:support@weex.com