内容概要:
- 我们报道称,一款名为PamStealer的新型macOS恶意软件通过假冒网站分发恶意AppleScript文件,专门针对Maccy剪贴板管理器的用户。
- 这种复杂的恶意软件采用安静的执行链,结合JXA和Rust来窃取信息,并通过macOS认证模块验证登录密码。
- 用户应仅从官方maccy.app网站或GitHub下载Maccy,避免第三方站点,并尽可能使用Mac App Store。
Jamf Threat Labs发布了一份报告,提醒Maccy这一第三方剪贴板管理器的用户注意新型恶意软件。该恶意软件被称为“PamStealer”,由冒充真实Maccy网站的恶意站点分发,可下载文件诱导访问者以为自己正在获取合法的Maccy文件。
这些伪造文件是
Maccy.scpt
AppleScript文件,伪装成合法的安装程序文件并通过磁盘映像分发。如果脚本被启动,用户会被指示运行脚本,随后触发有效载荷,能够跟踪Mac上的信息并将其发送给威胁行为者。PamStealer这个名称指的是该恶意软件通过macOS可插拔认证模块(PAM)验证受害者登录密码的行为。
为了避免下载恶意文件,Maccy用户应确保访问maccy.app网站。根据该网站上的免责声明,“maccy.app是唯一的官方网站。”用户还可以访问Maccy的GitHub网站https://github.com/p0deje/Maccy,该网站也声明“maccy.app是唯一的官方网站。”
Maccy是一款免费开源的剪贴板管理器,可跟踪剪贴板历史记录。Apple刚刚在macOS Tahoe中通过Spotlight引入剪贴板历史记录跟踪功能,因此这些第三方管理器深受高级用户欢迎。然而,正如Jamf所解释的,这种特定威胁的传播机制可能产生超出该应用本身的深远影响:
虽然磁盘映像和基于AppleScript的恶意软件在macOS上早已存在,但PamStealer以有趣的方式将它们结合在一起。它没有依赖
curl或zsh等shell命令,而是让AppleScript执行一个自包含的JavaScript for Automation(JXA)下载器,使用原生Objective-C API检索并暂存有效载荷。结合基于Rust的第二阶段和通过PAM本地验证凭证的密码捕获工作流,结果是比我们通常在常见macOS窃取程序中观察到的更安静的执行链。
该报告详细阐述了攻击如何欺骗用户,并总结道:“这些行为共同展示了常见macOS窃取程序如何持续演化,采用更安静的执行链和原生实现,从而减少传统检测机会,同时仍与标准macOS功能兼容。”
如何保护自己免受恶意软件侵害
保护自己免受恶意软件侵害的最简单方法是避免从不熟悉的下载站点下载软件。永远不要打开来自未知或意外来源的电子邮件或短信中的链接。如果您收到看似来自您业务往来的实体的消息,请检查发件人的电子邮件地址并仔细检查URL。如果看到链接或按钮,可以按住Control键点击它,选择“拷贝链接地址”,然后将其粘贴到文本编辑器中查看实际URL进行检查。
Apple已在Mac App Store中对软件进行了审核,这是获取应用的最安全方式。如果您不想使用Mac App Store,那么直接从开发者及其网站购买软件。如果您坚持使用破解软件,则始终面临恶意软件风险。
我们有几份指南可以提供帮助,包括关于是否需要杀毒软件的指南、Mac病毒、恶意软件和木马列表,以及Mac安全软件比较。

2507222545
全部评论 0
暂无跟帖