Jamf 公司指出,PamStealer 恶意软件的攻击活动分为两个主要阶段。首先,攻击者创建了一个模仿 Maccy 官方网站的虚假网站,并通过搜索引擎的付费广告推广该仿冒网站,以提高其在搜索结果中的排名,从而诱使不知情的用户点击并下载恶意软件。
一旦用户下载并运行了该恶意软件包,其中包含的 AppleScript 脚本会首先检查运行环境,确保其不在沙盒内。随后,该脚本会利用 macOS 的 PAM 认证机制,弹出一个系统原生的管理员密码输入提示窗口,要求用户输入其管理员凭证。
在用户输入管理员密码后,该软件包会从攻击者控制的服务器下载 PamStealer 恶意木马。这款恶意软件是用 Rust 编写的,它能够伪装成 macOS 的文件管理应用“访达(Finder)”。一旦运行,该木马就会搜集用户设备上的浏览器数据、加密货币钱包以及剪贴板中的敏感信息。在收集并加密完这些信息后,它会将数据上传到攻击者的服务器,为后续的勒索活动做准备。
03 条评论
张三
2024年5月19日 上午11:25海量高清赛事直播,不错过任何精彩瞬间。我们与多家直播源合作,确保流畅稳定的观赛体验,让您身临其境。
回复