PamStealer利用伪造Maccy网站和PAM验证窃取Mac登录密码

PamStealer利用伪造Maccy网站和PAM验证窃取Mac登录密码
原文配图

导语:网络安全研究人员披露了一种名为PamStealer的新型macOS信息窃取木马。该恶意软件冒充合法开源剪贴板管理工具Maccy,通过仿冒网站传播,利用AppleScript投递器与Rust编写的第二阶段载荷窃取用户凭据、浏览器数据及加密货币钱包信息,并通过PAM模块验证机制捕获Mac登录密码,整体攻击链设计极具隐蔽性。

概述

网络安全研究人员披露了一种名为PamStealer的新型macOS信息窃取木马,该恶意软件采用一系列巧妙的手法来感染系统并窃取敏感数据。

该窃取木马由Jamf Threat Labs发现,以编译版AppleScript(.scpt)文件形式分发,伪装成合法开源剪贴板管理工具Maccy。它被命名为PamStealer,是因为其能够在捕获受害者登录密码之前,先通过macOS可插拔认证模块(PAM)对该密码进行验证。

两阶段投递链

该恶意软件通过两个阶段进行投递:第一阶段是一个编译版AppleScript,被打包在磁盘镜像中,用于下载并暂存后续载荷;第二阶段是一个基于Rust编写的窃密程序,具备凭据窃取、浏览器数据收集、持久化和数据外传等功能。

该恶意软件的初始访问入口是一个仿冒网站(maccyapp[.]com),模仿正版Maccy的官方网站(maccy[.]app)。磁盘镜像内的AppleScript文件(Maccy.scpt)会执行一段自包含的JavaScript for Automation(JXA)下载器,利用原生Objective-C API获取并暂存窃密载荷。

隐藏逻辑与规避手法

值得注意的是,一旦通过脚本编辑器启动该脚本,它会显示指引信息,要求用户使用”⌘ + R”快捷键或点击脚本编辑器的”运行”按钮来执行。如此一来,隐藏在大量空行下方的恶意逻辑便会被触发。

安全研究员Thijs Xhaflaire表示:”值得注意的是,即使文件仍带有com.apple.quarantine(隔离)属性,这种方式依然奏效,这正是该手法对攻击者具有吸引力的原因,因为苹果公司正在持续收紧Gatekeeper及终端相关机制。结合基于Rust的第二阶段载荷以及通过PAM在本地验证凭据的密码捕获工作流,最终形成了一个比我们通常在商品化macOS窃取木马中观察到的更为安静的执行链。”

AppleScript投递器内置环境感知特性,只有在对主机进行指纹识别并确认其运行在Apple Silicon芯片上之后,程序才会继续执行。它通过基于指纹派生的密钥——其中包括CPU架构、地区设置、键盘布局以及时区等详细信息——来解密一份加密的配置,其中包含载荷URL和安装路径。

在基于Intel的Mac上,派生的解密密钥不同,无法正确解码配置,导致投递器终止运行。该脚本同时也会规避在沙盒或分析环境中执行,以及在系统时区、系统地区和键盘输入解析到东欧国家(例如俄罗斯、白俄罗斯、哈萨克斯坦、亚美尼亚、阿塞拜疆、吉尔吉斯斯坦、摩尔多瓦、塔吉克斯坦、乌兹别克斯坦、土库曼斯坦和格鲁吉亚)的系统上执行。

数据窃取与密码捕获

一旦上述检查通过,脚本便会联系外部服务器,下载一个用Rust编写的Mach-O二进制文件,该文件伪装成Finder应用,负责从网页浏览器、加密货币钱包扩展、iCloud钥匙串以及剪贴板内容中收集数据。捕获到的信息随后会被加密,并通过出站HTTP请求外传到攻击者控制的基础设施(avenger-sync[.]live)。

除了诱骗用户授予其完整的文件系统访问权限外,该窃密程序还会弹出一个原生的密码提示框,收集受害者的系统密码,然后通过PAM API交叉验证所输入的密码。如果验证失败,它会要求用户重新输入密码,并循环重复该过程,直到提供正确的密码为止。

Jamf指出:”在成功捕获有效密码后,该窃密程序会显示第二个伪造的提示框:’Maccy已损坏,无法打开。你应该将它移到废纸篓’,这与正版Gatekeeper提示信息高度相似。但这是一个诱饵。当这条提示出现时,载荷早已执行完毕,密码已被捕获,持久化也已完成,因此该提示仅用于让受害者丢弃诱饵并误以为下载出了问题。”

持久化机制与官方警示

Rust二进制文件内部还内置了一个小型的arm64 Mach-O文件,它伪装成macOS系统设置应用,用于建立持久化机制。

这一进展促使Maccy的开发者Alex Rodionov在其官方网站和GitHub仓库上都加入了警告信息,劝告用户远离仿冒该工具的虚假网站。Rodionov表示:”请警惕仿冒Maccy的虚假网站。恶意网站(例如maccyapp[.]net和maccyapp[.]com)分发伪装成Maccy的恶意软件。Maccy[.]app是唯一的官方网站。”

Jamf总结道:”综合来看,这些行为表明商品化macOS窃密程序仍在持续演进,采用更为安静的执行链和原生实现方式,以减少传统检测机会,同时保持与标准macOS功能的兼容性。”


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/pamstealer-uses-fake-maccy-sites-and.html

作者:info@thehackernews.com (The Hacker News)