新發現的 PamStealer 不是典型的 MacOS 惡意軟體

研究人員發現了一種前所未見的 macOS 惡意軟體,它結合了一系列巧妙的技巧,透過專門開發的隱形和憑證竊取程式碼來感染 Mac。

惡意軟體分兩個階段交付。第一個是作為偽裝成Maccy(Mac 的剪貼簿管理器)的調整而分發的。它被編譯為 AppleScript,其獨特之處在於引入第二階段的方式。該惡意軟體被命名為 PamStealer,因為 Rust 編寫的資訊竊取程式使用 macOS 內建的可插入身份驗證模組介面來驗證目標的登入密碼,然後將其傳送到攻擊者控制的伺服器。

更安靜的執行線程

Mac 惡意軟體中經常使用磁碟映像和 AppleScript。更奇怪的是 PamStealer 將它們結合起來以獲得隱身效果的方式。當您雙擊 AppleScript 時,它會在 macOS 腳本編輯器中打開,其中惡意功能隱藏在檔案深處。

「AppleScript 不依賴像 curl 或 zsh 這樣的 shell 命令,而是實作了一個 JavaScript for Automation (JXA) 下載器,該下載器使用本機 Objective-C API 檢索和編組有效負載,」macOS 用戶安全公司 Jamf 的研究人員寫道。 「結合基於 Rust 的第二階段和透過 PAM 在本地驗證憑證的密碼擷取工作流程,結果是比我們通常在 macOS 商品竊賊中看到的執行鏈要平靜得多。”

當希望安裝值得信賴的剪貼簿管理員的使用者遇到該磁碟映像時,系統會提示他或她在雙擊該映像後立即按 Command-R。該命令直接在 AppleScript 內部執行惡意程式碼。它還允許執行程式繞過 com.apple.quarantine,這是一項 macOS 功能,可在從 Internet 下載可執行檔時提供警告和限制。

正如賈姆夫所解釋的:

PamStealer 將最近出現的傳輸表面與鮮為人知的有效負載相結合。雖然 .scpt 和可點擊腳本編輯器的吸引力依賴於已經在 macOS 威脅環境中獲得採用的行業,但該惡意軟體以其獨立的 JXA dropper、基於 Rust 的第 2 階段以及密碼捕獲工作流程(在獲取憑證之前通過 PAM 在本地驗證憑證)而與眾不同。第二階段竭盡全力保持隱藏,將自己偽裝成 Finder,加密命令和控制流量,並推遲請求全盤訪問等提示長達四十分鐘,以便其活動不再與啟動一致。這些行為共同說明了 macOS 商品盜竊如何持續發展,因為它們採用了更安靜的執行鍊和本機應用程序,減少了傳統檢測機會,同時保持了與標準 macOS 功能的兼容性。

第一階段將其有效負載放置在應用程式包中,該應用程式包模擬 macOS 中包含的真實元件。惡意軟體樣本的元件會改變。 com.apple.finder.core 或 com.apple.finder.monitor 下的 Finder.app 以及 com.apple.security.daemon 下的 Software Update.app 是兩個範例。在這兩種情況下,它們都是隱藏運行的。它還將 macOS 的本機 Finder.icns 顯示為其圖示。


發布日期: 2026-07-02 20:38:00

來源連結: arstechnica.com