PamStealer: Phần mềm độc hại macOS mới, hoạt động lén lút dưới dạng trình quản lý clipboard, nhắm mục tiêu vào thông tin đăng nhập của người dùng.
Hãy tìm hiểu về PamStealer, một phần mềm độc hại mới trên macOS giả dạng trình quản lý clipboard của Maccy để đánh cắp mật khẩu và khóa mã hóa. Khám phá cách thức hoạt động và cách phòng tránh.

Sự trỗi dậy của các phần mềm đánh cắp thông tin tinh vi trên macOS
Trong nhiều năm, người dùng Mac được hưởng cảm giác an toàn tương đối so với người dùng Windows. Tuy nhiên, khoảng cách đó đang thu hẹp nhanh chóng khi tội phạm mạng phát triển các công cụ tinh vi và nhắm mục tiêu hơn. Mối đe dọa mới nhất, được các nhà nghiên cứu bảo mật tại Jamf xác định, là một phần mềm độc hại có tên PamStealer. Phần mềm đánh cắp thông tin này sử dụng sự kết hợp khéo léo giữa kỹ thuật xã hội và các công cụ hệ thống macOS gốc để vượt qua các cảnh báo bảo mật và thu thập thông tin đăng nhập nhạy cảm.
Cách PamStealer đánh lừa người dùng
PamStealer không xuất hiện dưới dạng virus trắng trợn mà là một phiên bản giả mạo của một ứng dụng năng suất phổ biến, hợp pháp có tên Maccy—một trình quản lý clipboard nhẹ. Bằng cách giả mạo một tiện ích đáng tin cậy, phần mềm độc hại dụ dỗ người dùng tải xuống và cài đặt nó từ một tên miền giả mạo.
Quá trình lây nhiễm hai giai đoạn
Phần mềm độc hại sử dụng một chuỗi thực thi nhiều giai đoạn được thiết kế để tránh bị phần mềm chống virus truyền thống phát hiện:
- Giai đoạn một: Mục nhập AppleScript: Phần mềm độc hại xâm nhập qua một ảnh đĩa. Khi mở, người dùng được yêu cầu thực thi một AppleScript. Bằng cách sử dụng phương pháp này, PamStealer đã vượt qua thành công
com.apple.quarantine, tính năng bảo mật gốc của macOS thường gắn cờ và hạn chế các tệp thực thi được tải xuống từ internet. - Giai đoạn hai: Payload dựa trên Rust: Sau khi tập lệnh được kích hoạt, nó sử dụng trình tải xuống JavaScript for Automation (JXA) để lấy payload giai đoạn hai. Payload này là một tệp Mach-O được viết bằng Rust, được tối ưu hóa đặc biệt cho CPU dòng M của Apple. Việc sử dụng Rust đặc biệt đáng chú ý vì nó không phổ biến đối với các phần mềm đánh cắp thông tin đăng nhập macOS thông thường, khiến cho một số công cụ bảo mật khó nhận diện phần mềm độc hại này hơn.
Đánh cắp thông tin đăng nhập qua PAM
Điều làm cho PamStealer khác biệt so với các phần mềm độc hại cơ bản là việc nó sử dụng giao diện Pluggable Authentication Modules (PAM). Thay vì sử dụng các lệnh shell rõ ràng như curl hoặc zsh, thường gây ra cảnh báo bảo mật, PamStealer hiển thị lời nhắc nhập mật khẩu trông giống như hệ điều hành macOS gốc.
Lời nhắc thường có nội dung: “Maccy muốn thực hiện thay đổi. Nhập mật khẩu của bạn để cho phép điều này.” Khi người dùng không nghi ngờ nhập mật khẩu quản trị viên của họ, phần mềm độc hại sẽ xác thực thông tin đăng nhập cục bộ thông qua API PAM. Điều này cho phép kẻ tấn công có thể truy cập toàn bộ ổ đĩa hoặc chèn mã độc hại để nhắm mục tiêu vào các tài sản cụ thể, chẳng hạn như tài khoản tiền điện tử Ethereum.
Cách bảo vệ máy Mac của bạn khỏi PamStealer
Mặc dù macOS có các biện pháp phòng vệ tích hợp như XProtect, nhưng yếu tố con người vẫn là điểm yếu chính. Dưới đây là các biện pháp tốt nhất để giữ cho thiết bị của bạn an toàn:
1. Xác minh nguồn phần mềm
Luôn đảm bảo bạn tải xuống phần mềm từ các trang web chính thức. Trong trường hợp của Maccy, trang web hợp pháp duy nhất là maccy.app. Hãy cảnh giác với các URL trông tương tự, chẳng hạn như maccyapp.com, đã được sử dụng để lưu trữ phần mềm độc hại.
2. Ưu tiên App Store
Bất cứ khi nào có thể, hãy tải xuống ứng dụng trực tiếp từ Apple App Store. Vì Apple kiểm duyệt các ứng dụng trước khi chúng được niêm yết, nên nguy cơ cài đặt phần mềm đánh cắp thông tin giảm đáng kể so với việc tải xuống các tệp .dmg ngẫu nhiên từ web.
3. Cẩn trọng với các yêu cầu mật khẩu bất ngờ
Nếu một ứng dụng bạn vừa cài đặt đột nhiên yêu cầu mật khẩu quản trị viên của bạn để "thực hiện thay đổi" mà không có lý do rõ ràng, hãy dừng lại và điều tra. Phần mềm chất lượng cao thường giải thích chính xác lý do tại sao cần quyền quản trị.
4. Sử dụng bảo mật nhiều lớp
Mặc dù XProtect là một giải pháp cơ bản tuyệt vời, nhưng việc xem xét một giải pháp chống virus của bên thứ ba uy tín có thể cung cấp thêm một lớp phân tích phỏng đoán để phát hiện các mối đe dọa "zero-day" như PamStealer trước khi chúng được thực thi.