返回

文章详情

新发现的PamStealer并不是典型的macOS恶意软件

Ars Technica2026年7月2日 19:38

研究人员发现了一种前所未见的macOS恶意软件,它结合了一系列巧妙的技术,以隐秘的方式感染Mac并定制开发密码窃取代码。该恶意软件分两个阶段投放。第一阶段以假装为Maccy(Mac的剪贴板管理器)的磁盘映像形式分发。它被编译为AppleScript,这种方式在交付第二阶段时尤为显著。该恶意软件被称为PamStealer,因为使用Rust编写的信息窃取器利用macOS内置的可插入身份验证模块接口来验证目标的登录密码,然后再将其发送到攻击者控制的服务器。更安静的执行链同时使用磁盘映像和AppleScript在Mac恶意软件中是常见的。然而,PamStealer通过将二者结合以获得隐秘性,这一点却较为不寻常。当双击AppleScript时,它会在macOS脚本编辑器中打开,恶意功能会深埋在文件中。“与其依赖于如curl或zsh之类的shell命令,AppleScript执行一个自包含的JavaScript自动化(JXA)下载器,该下载器使用本地的Objective-C API来检索和阶段性地获取有效载荷,”来自为macOS用户提供安全服务的Jamf公司的研究人员写道。“结合Rust基础的第二阶段和通过PAM在本地验证凭证的密码捕获工作流程,结果是一个比我们在一般macOS窃取者中观察到的执行链更安静。”当用户期待安装一个可信赖的剪贴板管理器时,遇到磁盘映像,他们会被提示在双击后立即按下Command-R。该命令直接执行AppleScript内部的恶意代码。同时,它还允许执行绕过com.apple.quarantine,这是一个macOS属性,当可执行文件是从互联网下载时会提供警告和限制。正如Jamf所解释的:PamStealer结合了最近出现的交付表面和不太熟悉的有效载荷。虽然可点击的.scpt文件和脚本编辑器的诱饵建立在已在macOS威胁环境中逐渐被采用的技术基础上,但该恶意软件通过自包含的JXA投放器、Rust基础的第二阶段以及通过PAM在本地验证凭证然后进行收集的密码捕获工作流程,使其脱颖而出。第二阶段在保持隐藏方面付出了大量努力,伪装成Finder,加密其命令与控制流量,并将诸如完全磁盘访问请求的提示推迟长达四十分钟,以避免与启动活动重合。所有这些行为共同表明了普通macOS窃取者在不断演变,采用更安静的执行链和本地实现,从而减少传统检测机会,同时保持与标准macOS功能的兼容性。第一阶段将有效载荷放入一个冒充macOS内部真实组件的应用捆绑包中。该组件在恶意软件的样本之间有所变化。在com.apple.finder.core或com.apple.finder.monitor下的Finder.app,以及在com.apple.security.daemon下的Software Update.app,都是两个例子。在任一情况下,它们都是隐蔽运行的。它们还使用macOS真实的Finder.icns作为图标。

赞助内容

NordVPN Next-gen Antivirus

本站免费、广告极少。如果觉得有帮助,可以请我们喝杯咖啡 —— 任何金额都对持续运营有实际帮助。

请我喝杯咖啡