Jamf Threat Labs ระบุพบมัลแวร์ขโมยข้อมูลบน macOS ที่ใช้ภาษา Rust ตัวใหม่ชื่อ PamStealer ซึ่งปลอมตัวเป็นตัวจัดการคลิปบอร์ดโอเพนซอร์ส Maccy ในรายงานที่เผยแพร่เมื่อวันพฤหัสบดี บริษัทรักษาความปลอดภัยทางไซเบอร์ระบุว่าแคมเปญนี้ใช้เว็บไซต์ปลอมเพื่อแจกจ่ายไฟล์ AppleScript ที่เป็นอันตราย ซึ่งสามารถขโมยรหัสผ่านและคีย์กระเป๋าเงินคริปโตจากผู้ใช้ Mac ตามรายงานของ Jamf Threat Labs มัลแวร์จะตรวจสอบความถูกต้องของรหัสผ่านเข้าสู่ระบบของเหยื่อผ่านโมดูลการตรวจสอบสิทธิ์แบบเสียบปลั๊ก (PAM) ของ macOS ก่อนที่จะขโมยข้อมูล การค้นพบนี้สะท้อนแนวโน้มที่กว้างขึ้นของผู้โจมตีที่ปลอมตัวมัลแวร์เป็นซอฟต์แวร์ที่ถูกกฎหมาย และใช้ประโยชน์จากแพลตฟอร์มนักพัฒนาที่เชื่อถือได้และช่องทางการโฆษณา
ตามรายงานของ Jamf Threat Labs แคมเปญนี้ใช้เว็บไซต์ลอกเลียนแบบเพื่อแจกจ่ายอิมเมจดิสก์ที่มีไฟล์ AppleScript อันตรายชื่อ Maccy.scpt เมื่อเปิดไฟล์นี้ จะแสดงคำแนะนำบอกให้ผู้ใช้รันไฟล์ใน Script Editor ของ Apple ในขณะที่ซ่อนโค้ดที่เป็นอันตรายไว้ด้านล่างของเอกสาร
"เรากำลังติดตามมัลแวร์นี้ภายใต้ชื่อ PamStealer ตามพฤติกรรมหลักอย่างหนึ่งของมัน: การตรวจสอบรหัสผ่านเข้าสู่ระบบของเหยื่อผ่านโมดูลการตรวจสอบสิทธิ์แบบเสียบปลั๊ก (PAM) ของ macOS ก่อนที่จะขโมยมัน" Jamf Threat Labs เขียนในรายงาน
Jaron Bradley ผู้อำนวยการ Jamf Threat Labs กล่าวกับ Decrypt ว่าผู้โจมตีได้ซื้อพื้นที่โฆษณา Google เพื่อล่อลวงผู้ใช้ไปยังแอปที่เป็นอันตราย "เราเพิ่งสังเกตเห็นโฆษณาที่เป็นอันตรายที่โฮสต์บน X เช่นกัน" Bradley กล่าว "เทคนิควิศวกรรมสังคมเหล่านี้พิสูจน์แล้วว่าประสบความสำเร็จอย่างมาก"
มัลแวร์ใช้ JavaScript สำหรับระบบอัตโนมัติและ API ดั้งเดิมของ macOS เพื่อดาวน์โหลดเพย์โหลดระยะที่สองโดยไม่ต้องพึ่งพายูทิลิตี้เชลล์ทั่วไป เช่น curl หรือ zsh ซึ่งช่วยลดจำนวนกระบวนการที่เครื่องมือรักษาความปลอดภัยสามารถสังเกตเห็นได้
ตามรายงาน ระยะที่สองเป็นไบนารีที่ใช้ภาษา Rust ซึ่งออกแบบมาสำหรับ Mac Apple Silicon และปลอมตัวเป็น Finder หรือ Software Update "แทนที่จะเก็บการกำหนดค่าในรูปแบบข้อความธรรมดา ตัวดรอปเปอร์จะสร้างคีย์จากลายนิ้วมือของโฮสต์ รวมถึงสถาปัตยกรรม CPU, ตำแหน่งที่ตั้ง, รูปแบบแป้นพิมพ์ และโซนเวลา และใช้คีย์นี้เพื่อปลดล็อกการกำหนดค่าที่เข้ารหัสและตรวจสอบความสมบูรณ์ซึ่งมี URL ของเพย์โหลดและพาธการติดตั้ง" บริษัทกล่าว
หากมัลแวร์ไม่สามารถยืนยันได้ว่ากำลังทำงานบนเป้าหมายที่ตั้งใจไว้ มัลแวร์จะปิดตัวเองอย่างเงียบๆ
เมื่อติดตั้งแล้ว มัลแวร์สามารถขโมยข้อมูลประจำตัวของเบราว์เซอร์และข้อมูล Keychain ตรวจสอบเนื้อหาคลิปบอร์ด สร้างการคงอยู่ และส่งข้อมูลที่ถูกขโมยไปยังเซิร์ฟเวอร์ควบคุมและสั่งการระยะไกลโดยใช้การสื่อสารที่เข้ารหัส
มัลแวร์พยายามขยายการเข้าถึงโดยแสดงการแจ้งเตือน Finder ปลอมที่ขอให้ผู้ใช้อนุญาตการเข้าถึงดิสก์แบบเต็ม การแจ้งเตือนนี้สามารถปรากฏขึ้นนานถึง 40 นาทีหลังการติดเชื้อ ทำให้ผู้ใช้มีโอกาสน้อยที่จะเชื่อมโยงกับการดาวน์โหลดครั้งแรก หากได้รับการอนุมัติ มัลแวร์สามารถเข้าถึงข้อมูลที่ได้รับการป้องกัน รวมถึง Mail, Messages และ Time Machine Backups
ตามที่ Bradley กล่าว Jamf ยังไม่พบหลักฐานใดๆ ว่า PamStealer กำลังทำงานในโลกจริง บริษัทได้แจ้ง Apple ถึงสิ่งที่ค้นพบ Apple ยังไม่ตอบสนองต่อคำขอความคิดเห็นจาก Decrypt ในทันที
Jamf กล่าวว่ากำลังเห็นเทคนิควิศวกรรมสังคมที่คล้ายกันแพร่กระจายไปยังแพลตฟอร์มอื่น ในโพสต์ X เมื่อสัปดาห์ที่แล้ว บริษัทกล่าวว่ากำลังตรวจสอบโฆษณาที่สนับสนุนบน X ซึ่งโปรโมต DynamicLake และเปลี่ยนเส้นทางผู้ใช้ไปยัง dynamicmacisland[.]com ซึ่งพวกเขาถูกสั่งให้เปิด Terminal และรันคำสั่งติดตั้ง
"โฆษณาถูกส่งผ่านบัญชี X ที่ได้รับการยืนยัน ซึ่งเพิ่มชั้นของความน่าเชื่อถืออีกชั้นให้กับวิศวกรรมสังคม" บริษัทเขียน "การวิเคราะห์เพย์โหลดเผยให้เห็นตัวแปร Atomic (MacSync) Stealer ล่าสุด"
การค้นพบนี้เกิดขึ้นในขณะที่ผู้โจมตีปลอมตัวมัลแวร์เป็นซอฟต์แวร์ที่ถูกกฎหมายมากขึ้น และใช้ประโยชน์จากแพลตฟอร์มนักพัฒนาที่เชื่อถือได้และช่องทางการโฆษณา แคมเปญล่าสุดรวมถึงที่เก็บ OpenAI ปลอมที่ขึ้นถึงอันดับต้นๆ ของโปรเจกต์ที่กำลังมาแรงบน Hugging Face ก่อนที่จะแจกจ่ายมัลแวร์ขโมยข้อมูลที่ใช้ภาษา Rust, ส่วนขยาย Visual Studio Code ที่เป็นอันตรายซึ่ง GitHub กล่าวว่าเปิดเผยที่เก็บภายในประมาณ 3,800 แห่ง และแคมเปญซัพพลายเชนซอฟต์แวร์ Shai-Hulud ที่กำหนดเป้าหมายเครื่องมือพัฒนาที่ใช้โดยบริษัท AI รวมถึง OpenAI และ Mistral AI
มัลแวร์ PamStealer คืออะไร และมันกำหนดเป้าหมายผู้ใช้ Mac อย่างไร
PamStealer เป็นมัลแวร์ขโมยข้อมูลบน macOS ที่ใช้ภาษา Rust ซึ่งถูกระบุโดย Jamf Threat Labs และปลอมตัวเป็นตัวจัดการคลิปบอร์ดโอเพนซอร์ส Maccy มัลแวร์ถูกแจกจ่ายผ่านเว็บไซต์ปลอมที่ส่งไฟล์ AppleScript อันตราย มันจะตรวจสอบรหัสผ่านเข้าสู่ระบบของเหยื่อผ่านโมดูลการตรวจสอบสิทธิ์แบบเสียบปลั๊ก (PAM) ของ macOS ก่อนที่จะขโมยข้อมูลประจำตัวของเบราว์เซอร์ ข้อมูล Keychain และตรวจสอบเนื้อหาคลิปบอร์ด
PamStealer หลีกเลี่ยงการตรวจจับโดยเครื่องมือรักษาความปลอดภัยได้อย่างไร
ตามที่ Jamf Threat Labs กล่าว PamStealer ใช้ JavaScript สำหรับระบบอัตโนมัติและ API ดั้งเดิมของ macOS เพื่อดาวน์โหลดเพย์โหลดระยะที่สองโดยไม่ต้องพึ่งพายูทิลิตี้เชลล์ทั่วไป เช่น curl หรือ zsh ซึ่งช่วยลดจำนวนกระบวนการที่เครื่องมือรักษาความปลอดภัยสามารถสังเกตเห็นได้ มัลแวร์ยังสร้างคีย์จากลายนิ้วมือของโฮสต์เพื่อปลดล็อกการกำหนดค่าที่เข้ารหัส และปิดตัวเองหากไม่สามารถยืนยันได้ว่ากำลังทำงานบนเป้าหมายที่ตั้งใจไว้
Jamf ได้สังเกตเห็นว่า PamStealer ถูกใช้ในการโจมตีจริงหรือไม่
ตามที่ Jaron Bradley ผู้อำนวยการ Jamf Threat Labs กล่าว Jamf ยังไม่พบหลักฐานใดๆ ว่า PamStealer กำลังทำงานในโลกจริง บริษัทได้แจ้ง Apple ถึงสิ่งที่ค้นพบ แต่ Apple ยังไม่ตอบสนองต่อคำขอความคิดเห็นจาก Decrypt ในทันที
news.related.news
Zcash ตั้งเป้าหมายวันที่ 21 กรกฎาคม 2026 สำหรับ Ironwood Mainnet หลังจากเกิดข้อบกพร่องของ Orchard Pool
D3Lab ตรวจจับคลื่นมัลแวร์แตะเพื่อชำระเงินที่มุ่งเป้าไปยังผู้ใช้ Android ในยุโรป
Peter Schiff วิจารณ์เหรียญมีมของทรัมป์ในฐานะเครื่องมือติดสินบน
Hinkal DeFi สูญเสีย 820,000 ดอลลาร์จากช่องโหว่ และ ETH 410 เหรียญเกี่ยวข้องกับการฟอกเงิน