PamStealer恶意软件披露:针对苹果Mac用户,Rust收集隐私数据
18 小时前 / 阅读约2分钟
来源:凤凰网
Jamf Threat Labs披露针对苹果macOS用户的恶意软件PamStealer,伪装成剪贴板管理器,窃取用户数据,加密后传输至命令与控制基础设施,使用Rust语言增加逆向分析难度。

7 月 3 日消息,Jamf Threat Labs 昨日(7 月 2 日)发布博文,披露名为 PamStealer 的恶意软件,主要针对苹果 macOS 用户,通过伪装成 Maccy 剪贴板管理器,通过虚假网站分发和传播恶意 AppleScript 应用。

用户一旦下载并安装该恶意应用之后,PamStealer 会仿冒 macOS 授权提示,要求用户输入管理员密码,随后通过苹果的 Pluggable Authentication Modules(可插拔认证模块)验证密码有效性。

Jamf 表示该恶意软件滥用合法 macOS 框架,在用户输入密码后确认凭据是否可用,攻击者可据此剔除无效凭据,再继续窃取数据。

PamStealer 在运行前检查系统特征、键盘布局和区域设置。恶意应用打开后,会获取第 2 阶段 Rust 载荷,并建立持久化能力。

第 2 阶段 Rust 载荷会收集浏览器 Cookie、浏览历史、已保存凭据、SQLite 数据库、剪贴板内容和加密货币钱包数据。Jamf 称,PamStealer 还会加密被盗信息,再传输至命令与控制基础设施。IT之家附上相关截图如下:

Jamf 称,PamStealer 大量使用 Rust 语言,而 Rust 会让部分字符串和代码路径在运行时解析,增加逆向分析难度。