欢迎来到看个球,您的专业体育直播平台
Jamf 公司披露,PamStealer 恶意软件的攻击分为两个主要阶段。首先,攻击者会创建一个模仿 Maccy 官方网站的虚假网站,并利用搜索引擎的付费广告推广该假冒网站,从而提高其在搜索结果中的排名,吸引未经察觉的受害者下载恶意软件。
当用户下载并运行该恶意软件安装包后,其中包含的 AppleScript 脚本会首先检查运行环境,以确保其并非在沙盒内执行。一旦确认,该脚本便会利用 macOS 的 PAM(Pluggable Authentication Modules)认证机制,弹出一个系统自带的管理员密码输入窗口,要求用户输入其管理员凭据。
在用户输入管理员密码后,该安装包会从攻击者控制的服务器下载 PamStealer 恶意木马。这款恶意软件使用 Rust 语言编写,能够伪装成 macOS 的文件管理应用“访达(Finder)”。一旦运行,它便会窃取用户设备上的浏览器数据、加密货币钱包以及剪贴板中的敏感信息。完成信息收集和加密后,木马会将这些数据上传到攻击者的服务器,为后续的勒索行为做准备。