Jamf Threat Labs ระบุมัลแวร์ PamStealer ที่แอบอ้างเป็นแอป Maccy

Jamf Threat Labs ระบุพบมัลแวร์ขโมยข้อมูลบน macOS ที่ใช้ภาษา Rust ตัวใหม่ชื่อ PamStealer ซึ่งปลอมตัวเป็นตัวจัดการคลิปบอร์ดโอเพนซอร์ส Maccy ในรายงานที่เผยแพร่เมื่อวันพฤหัสบดี บริษัทรักษาความปลอดภัยทางไซเบอร์ระบุว่าแคมเปญนี้ใช้เว็บไซต์ปลอมเพื่อแจกจ่ายไฟล์ AppleScript ที่เป็นอันตราย ซึ่งสามารถขโมยรหัสผ่านและคีย์กระเป๋าเงินคริปโตจากผู้ใช้ Mac ตามรายงานของ Jamf Threat Labs มัลแวร์จะตรวจสอบความถูกต้องของรหัสผ่านเข้าสู่ระบบของเหยื่อผ่านโมดูลการตรวจสอบสิทธิ์แบบเสียบปลั๊ก (PAM) ของ macOS ก่อนที่จะขโมยข้อมูล การค้นพบนี้สะท้อนแนวโน้มที่กว้างขึ้นของผู้โจมตีที่ปลอมตัวมัลแวร์เป็นซอฟต์แวร์ที่ถูกกฎหมาย และใช้ประโยชน์จากแพลตฟอร์มนักพัฒนาที่เชื่อถือได้และช่องทางการโฆษณา

Jamf Threat Labs ค้นพบวิธีการแจกจ่าย PamStealer

ตามรายงานของ Jamf Threat Labs แคมเปญนี้ใช้เว็บไซต์ลอกเลียนแบบเพื่อแจกจ่ายอิมเมจดิสก์ที่มีไฟล์ AppleScript อันตรายชื่อ Maccy.scpt เมื่อเปิดไฟล์นี้ จะแสดงคำแนะนำบอกให้ผู้ใช้รันไฟล์ใน Script Editor ของ Apple ในขณะที่ซ่อนโค้ดที่เป็นอันตรายไว้ด้านล่างของเอกสาร

"เรากำลังติดตามมัลแวร์นี้ภายใต้ชื่อ PamStealer ตามพฤติกรรมหลักอย่างหนึ่งของมัน: การตรวจสอบรหัสผ่านเข้าสู่ระบบของเหยื่อผ่านโมดูลการตรวจสอบสิทธิ์แบบเสียบปลั๊ก (PAM) ของ macOS ก่อนที่จะขโมยมัน" Jamf Threat Labs เขียนในรายงาน

Jaron Bradley ผู้อำนวยการ Jamf Threat Labs กล่าวกับ Decrypt ว่าผู้โจมตีได้ซื้อพื้นที่โฆษณา Google เพื่อล่อลวงผู้ใช้ไปยังแอปที่เป็นอันตราย "เราเพิ่งสังเกตเห็นโฆษณาที่เป็นอันตรายที่โฮสต์บน X เช่นกัน" Bradley กล่าว "เทคนิควิศวกรรมสังคมเหล่านี้พิสูจน์แล้วว่าประสบความสำเร็จอย่างมาก"

PamStealer ใช้เทคนิคเล็ดรอดขั้นสูง

มัลแวร์ใช้ JavaScript สำหรับระบบอัตโนมัติและ API ดั้งเดิมของ macOS เพื่อดาวน์โหลดเพย์โหลดระยะที่สองโดยไม่ต้องพึ่งพายูทิลิตี้เชลล์ทั่วไป เช่น curl หรือ zsh ซึ่งช่วยลดจำนวนกระบวนการที่เครื่องมือรักษาความปลอดภัยสามารถสังเกตเห็นได้

ตามรายงาน ระยะที่สองเป็นไบนารีที่ใช้ภาษา Rust ซึ่งออกแบบมาสำหรับ Mac Apple Silicon และปลอมตัวเป็น Finder หรือ Software Update "แทนที่จะเก็บการกำหนดค่าในรูปแบบข้อความธรรมดา ตัวดรอปเปอร์จะสร้างคีย์จากลายนิ้วมือของโฮสต์ รวมถึงสถาปัตยกรรม CPU, ตำแหน่งที่ตั้ง, รูปแบบแป้นพิมพ์ และโซนเวลา และใช้คีย์นี้เพื่อปลดล็อกการกำหนดค่าที่เข้ารหัสและตรวจสอบความสมบูรณ์ซึ่งมี URL ของเพย์โหลดและพาธการติดตั้ง" บริษัทกล่าว

หากมัลแวร์ไม่สามารถยืนยันได้ว่ากำลังทำงานบนเป้าหมายที่ตั้งใจไว้ มัลแวร์จะปิดตัวเองอย่างเงียบๆ

ความสามารถของมัลแวร์รวมถึงการขโมยข้อมูลประจำตัวและการคงอยู่

เมื่อติดตั้งแล้ว มัลแวร์สามารถขโมยข้อมูลประจำตัวของเบราว์เซอร์และข้อมูล Keychain ตรวจสอบเนื้อหาคลิปบอร์ด สร้างการคงอยู่ และส่งข้อมูลที่ถูกขโมยไปยังเซิร์ฟเวอร์ควบคุมและสั่งการระยะไกลโดยใช้การสื่อสารที่เข้ารหัส

มัลแวร์พยายามขยายการเข้าถึงโดยแสดงการแจ้งเตือน Finder ปลอมที่ขอให้ผู้ใช้อนุญาตการเข้าถึงดิสก์แบบเต็ม การแจ้งเตือนนี้สามารถปรากฏขึ้นนานถึง 40 นาทีหลังการติดเชื้อ ทำให้ผู้ใช้มีโอกาสน้อยที่จะเชื่อมโยงกับการดาวน์โหลดครั้งแรก หากได้รับการอนุมัติ มัลแวร์สามารถเข้าถึงข้อมูลที่ได้รับการป้องกัน รวมถึง Mail, Messages และ Time Machine Backups

ตามที่ Bradley กล่าว Jamf ยังไม่พบหลักฐานใดๆ ว่า PamStealer กำลังทำงานในโลกจริง บริษัทได้แจ้ง Apple ถึงสิ่งที่ค้นพบ Apple ยังไม่ตอบสนองต่อคำขอความคิดเห็นจาก Decrypt ในทันที

Jamf ระบุแคมเปญบนแพลตฟอร์ม X ที่เกี่ยวข้อง

Jamf กล่าวว่ากำลังเห็นเทคนิควิศวกรรมสังคมที่คล้ายกันแพร่กระจายไปยังแพลตฟอร์มอื่น ในโพสต์ X เมื่อสัปดาห์ที่แล้ว บริษัทกล่าวว่ากำลังตรวจสอบโฆษณาที่สนับสนุนบน X ซึ่งโปรโมต DynamicLake และเปลี่ยนเส้นทางผู้ใช้ไปยัง dynamicmacisland[.]com ซึ่งพวกเขาถูกสั่งให้เปิด Terminal และรันคำสั่งติดตั้ง

"โฆษณาถูกส่งผ่านบัญชี X ที่ได้รับการยืนยัน ซึ่งเพิ่มชั้นของความน่าเชื่อถืออีกชั้นให้กับวิศวกรรมสังคม" บริษัทเขียน "การวิเคราะห์เพย์โหลดเผยให้เห็นตัวแปร Atomic (MacSync) Stealer ล่าสุด"

การค้นพบสะท้อนแนวโน้มมัลแวร์ในวงกว้าง

การค้นพบนี้เกิดขึ้นในขณะที่ผู้โจมตีปลอมตัวมัลแวร์เป็นซอฟต์แวร์ที่ถูกกฎหมายมากขึ้น และใช้ประโยชน์จากแพลตฟอร์มนักพัฒนาที่เชื่อถือได้และช่องทางการโฆษณา แคมเปญล่าสุดรวมถึงที่เก็บ OpenAI ปลอมที่ขึ้นถึงอันดับต้นๆ ของโปรเจกต์ที่กำลังมาแรงบน Hugging Face ก่อนที่จะแจกจ่ายมัลแวร์ขโมยข้อมูลที่ใช้ภาษา Rust, ส่วนขยาย Visual Studio Code ที่เป็นอันตรายซึ่ง GitHub กล่าวว่าเปิดเผยที่เก็บภายในประมาณ 3,800 แห่ง และแคมเปญซัพพลายเชนซอฟต์แวร์ Shai-Hulud ที่กำหนดเป้าหมายเครื่องมือพัฒนาที่ใช้โดยบริษัท AI รวมถึง OpenAI และ Mistral AI

คำถามที่พบบ่อย

มัลแวร์ PamStealer คืออะไร และมันกำหนดเป้าหมายผู้ใช้ Mac อย่างไร

PamStealer เป็นมัลแวร์ขโมยข้อมูลบน macOS ที่ใช้ภาษา Rust ซึ่งถูกระบุโดย Jamf Threat Labs และปลอมตัวเป็นตัวจัดการคลิปบอร์ดโอเพนซอร์ส Maccy มัลแวร์ถูกแจกจ่ายผ่านเว็บไซต์ปลอมที่ส่งไฟล์ AppleScript อันตราย มันจะตรวจสอบรหัสผ่านเข้าสู่ระบบของเหยื่อผ่านโมดูลการตรวจสอบสิทธิ์แบบเสียบปลั๊ก (PAM) ของ macOS ก่อนที่จะขโมยข้อมูลประจำตัวของเบราว์เซอร์ ข้อมูล Keychain และตรวจสอบเนื้อหาคลิปบอร์ด

PamStealer หลีกเลี่ยงการตรวจจับโดยเครื่องมือรักษาความปลอดภัยได้อย่างไร

ตามที่ Jamf Threat Labs กล่าว PamStealer ใช้ JavaScript สำหรับระบบอัตโนมัติและ API ดั้งเดิมของ macOS เพื่อดาวน์โหลดเพย์โหลดระยะที่สองโดยไม่ต้องพึ่งพายูทิลิตี้เชลล์ทั่วไป เช่น curl หรือ zsh ซึ่งช่วยลดจำนวนกระบวนการที่เครื่องมือรักษาความปลอดภัยสามารถสังเกตเห็นได้ มัลแวร์ยังสร้างคีย์จากลายนิ้วมือของโฮสต์เพื่อปลดล็อกการกำหนดค่าที่เข้ารหัส และปิดตัวเองหากไม่สามารถยืนยันได้ว่ากำลังทำงานบนเป้าหมายที่ตั้งใจไว้

Jamf ได้สังเกตเห็นว่า PamStealer ถูกใช้ในการโจมตีจริงหรือไม่

ตามที่ Jaron Bradley ผู้อำนวยการ Jamf Threat Labs กล่าว Jamf ยังไม่พบหลักฐานใดๆ ว่า PamStealer กำลังทำงานในโลกจริง บริษัทได้แจ้ง Apple ถึงสิ่งที่ค้นพบ แต่ Apple ยังไม่ตอบสนองต่อคำขอความคิดเห็นจาก Decrypt ในทันที

news.article.disclaimer
แสดงความคิดเห็น
0/400
ไม่มีความคิดเห็น