
Tóm lại
- Jamf Threat Labs đã xác định một trình đánh cắp thông tin macOS dựa trên Rust mới giả danh là trình quản lý khay nhớ tạm của Maccy.
- Phần mềm độc hại xác thực mật khẩu của nạn nhân thông qua macOS PAM trước khi đánh cắp chúng.
- Các nhà nghiên cứu cũng phát hiện phần mềm độc hại kiểu ClickFix được phân phối thông qua quảng cáo được tài trợ trên X.
Theo công ty an ninh mạng Jamf Threat Labs, những người dùng Mac đang tìm kiếm trình quản lý clipboard mã nguồn mở Maccy đang bị nhắm đến bởi một phiên bản giả mạo của ứng dụng cài đặt trình đánh cắp thông tin dựa trên Rust mới có tên là PamStealer. Nếu thành công, phần mềm độc hại có thể đánh cắp mật khẩu và khóa ví tiền điện tử của người dùng.
trong một báo cáo được công bố hôm thứ Năm, Jamf Threat Labs cho biết chiến dịch này sử dụng một trang web tương tự để phân phối ảnh đĩa chứa tệp AppleScript độc hại có tên Maccy.scpt. Khi mở ra, tệp sẽ hiển thị hướng dẫn yêu cầu người dùng chạy tệp trong Trình chỉnh sửa tập lệnh của Apple trong khi ẩn mã độc sâu hơn trong tài liệu.
Jamf Threat Labs viết: “Chúng tôi đang theo dõi phần mềm độc hại này dưới tên PamStealer sau một trong những hành vi cốt lõi của nó: xác thực mật khẩu đăng nhập của nạn nhân thông qua Mô-đun xác thực có thể cắm (PAM) của macOS trước khi thu hoạch nó”.
Từ đó, phần mềm độc hại sử dụng JavaScript cho Tự động hóa và API macOS gốc để tải xuống tải trọng giai đoạn hai mà không cần dựa vào các tiện ích shell phổ biến như Curl hoặc Zsh, làm giảm số lượng quy trình mà các công cụ bảo mật có thể quan sát.
Jaron Bradley, Giám đốc Jamf Threat Labs, cho biết: “Với nhiều kẻ đánh cắp, chúng tôi đã thấy những kẻ tấn công mua không gian Google Ad để thu hút người dùng đến với ứng dụng độc hại. Gần đây, chúng tôi đã quan sát thấy các quảng cáo độc hại cũng được lưu trữ trên X”. Giải mã. “Những kỹ thuật lừa đảo xã hội này đã được chứng minh là rất thành công.”
Theo báo cáo, giai đoạn thứ hai là một tệp nhị phân dựa trên Rust được thiết kế cho máy Mac Apple Silicon, ngụy trang dưới dạng Finder hoặc Cập nhật phần mềm.
Công ty cho biết: “Thay vì lưu trữ cấu hình của nó ở dạng văn bản rõ ràng, trình nhỏ giọt lấy khóa từ dấu vân tay của máy chủ — bao gồm kiến trúc CPU, ngôn ngữ, bố cục bàn phím và múi giờ — và sử dụng khóa đó để mở khóa cấu hình được mã hóa, được kiểm tra tính toàn vẹn có chứa URL tải trọng và đường dẫn cài đặt”.
Sau khi được cài đặt, phần mềm độc hại có thể lấy cắp thông tin xác thực của trình duyệt và dữ liệu Chuỗi khóa, giám sát nội dung trong bảng nhớ tạm, thiết lập tính bền vững và gửi thông tin bị đánh cắp đến máy chủ ra lệnh và kiểm soát từ xa bằng cách sử dụng thông tin liên lạc được mã hóa. Nếu nó không thể xác minh rằng nó đang chạy đúng mục tiêu đã định thì nó sẽ lặng lẽ tắt.
Phần mềm độc hại cũng cố gắng mở rộng quyền truy cập bằng cách hiển thị cảnh báo Finder giả mạo yêu cầu người dùng cấp quyền truy cập toàn bộ đĩa. Lời nhắc có thể xuất hiện tối đa 40 phút sau khi bị lây nhiễm, khiến người dùng ít có khả năng liên kết nó với bản tải xuống ban đầu. Nếu được phê duyệt, phần mềm độc hại có thể truy cập vào dữ liệu được bảo vệ, bao gồm các bản sao lưu Thư, Tin nhắn và Time Machine.
Theo Bradley, Jamf chưa quan sát thấy bất kỳ bằng chứng nào cho thấy PamStealer đang hoạt động trong tự nhiên; tuy nhiên, công ty đã thông báo cho Apple về những phát hiện của mình. Apple đã không trả lời ngay lập tức yêu cầu bình luận của Giải mã.
Jamf cho biết họ đang thấy các kỹ thuật tấn công xã hội tương tự được lan truyền sang các nền tảng khác.
trong một bài đăng X tuần trước, công ty cho biết họ đang điều tra một quảng cáo được tài trợ trên X quảng cáo DynamicLake đã chuyển hướng người dùng đến Dynamicmacisland[.]com, nơi họ được hướng dẫn mở Terminal và thực thi lệnh cài đặt.
Công ty viết: “Quảng cáo được phân phối thông qua tài khoản X đã được xác minh, tạo thêm một lớp tin cậy khác cho kỹ thuật xã hội”. “Phân tích trọng tải đã tiết lộ một biến thể Atomic (MacSync) Stealer gần đây.”
Phát hiện này được đưa ra khi những kẻ tấn công ngày càng ngụy trang phần mềm độc hại thành phần mềm hợp pháp và lạm dụng các nền tảng và kênh quảng cáo của nhà phát triển đáng tin cậy. Các chiến dịch gần đây đã bao gồm OpenAI giả mạo kho lưu trữ đã lọt vào top các dự án thịnh hành của Hugging Face trước khi phân phối công cụ đánh cắp thông tin dựa trên Rust, một tiện ích mở rộng Visual Studio Code độc hại mà GitHub cho biết đã bị lộ một cách đại khái 3.800 kho lưu trữ nội bộ và Shai-Hulud chiến dịch chuỗi cung ứng phần mềm nhắm mục tiêu vào các công cụ phát triển được sử dụng bởi các công ty AI bao gồm OpenAI và Mistral AI.
Bản tin tóm tắt hàng ngày
Bắt đầu mỗi ngày với những tin tức hàng đầu ngay bây giờ, cùng với các tính năng độc đáo, podcast, video và hơn thế nữa.

