PamStealer:伪装成剪贴板管理器的新型隐蔽macOS恶意软件,目标是窃取用户凭证

了解 PamStealer,这是一款伪装成 macOS 剪贴板管理器的新型恶意软件,旨在窃取密码和加密密钥。了解其工作原理以及如何保护自身安全。

A
Staff Writer
发布于 03/07/2026 13:35
PamStealer:伪装成剪贴板管理器的新型隐蔽macOS恶意软件,目标是窃取用户凭证

macOS 信息窃取程序的崛起

多年来,与 Windows 用户相比,Mac 用户一直享有相对的安全感。然而,随着网络犯罪分子开发出更具针对性和更复杂的工具,这种差距正在迅速缩小。Jamf 的安全研究人员发现的最新威胁是一种名为 PamStealer 的恶意软件。这种信息窃取程序巧妙地结合了社会工程学和 macOS 系统自带工具,绕过安全警告并窃取敏感的登录信息。

PamStealer 如何欺骗用户

PamStealer 并非以明显的病毒形式出现,而是伪装成一款名为 Maccy 的流行合法办公应用——一款轻量级剪贴板管理器。

通过伪装成可信的实用程序,该恶意软件诱骗用户从欺诈域名下载并安装它。

两阶段感染过程

该恶意软件采用多阶段执行链,旨在绕过传统杀毒软件的检测:

  • 第一阶段:AppleScript 入口:该恶意软件通过磁盘映像进入用户。打开后,系统会提示用户执行 AppleScript。通过这种方法,PamStealer 成功绕过了 macOS 的原生安全功能 com.apple.quarantine,该功能通常会标记并限制从互联网下载的可执行文件。
  • 第二阶段:基于 Rust 的有效载荷:脚本激活后,它会利用 JavaScript for Automation (JXA) 下载器来获取第二阶段的有效载荷。该有效载荷是一个用 Rust 编写的 Mach-O 文件,专门针对 Apple M 系列 CPU 进行了优化。使用 Rust 语言编写密码尤其值得注意,因为在常见的 macOS 窃取程序中并不常见,这使得某些安全工具更难识别该恶意软件。

通过 PAM 窃取凭据

PamStealer 与普通恶意软件的区别在于它使用了可插拔身份验证模块 (PAM) 接口。PamStealer 不使用诸如 curlzsh 之类的常见 shell 命令(这些命令通常会触发安全警报),而是显示一个与 macOS 原生密码提示符类似的提示。

该提示符通常显示:“Maccy 想要进行更改。请输入您的密码以允许此操作。” 当毫无戒心的用户输入其管理员密码时,该恶意软件会通过 PAM API 在本地验证凭据。

这使得攻击者能够获得完整的磁盘访问权限,或者注入恶意代码来攻击特定资产,例如以太坊加密货币账户。

如何保护您的 Mac 免受 PamStealer 攻击

虽然 macOS 内置了诸如 XProtect 之类的防御机制,但人为因素仍然是主要的安全漏洞。以下是确保设备安全的最佳实践:

1. 验证软件来源

始终确保您从官方网站下载软件。对于 Maccy 而言,唯一合法的网站是 maccy.app。警惕类似网址,例如 maccyapp.com,这些网址已被用于托管恶意软件。

2. 优先选择 App Store

尽可能直接从 Apple App Store 下载应用程序。

由于苹果会在应用上架前进行审核,因此与从网上下载随机的 .dmg 文件相比,安装信息窃取程序的风险大大降低。

3. 对意外的密码提示保持警惕

如果您刚刚安装的应用突然要求您输入管理员密码才能“进行更改”,且没有给出明确的理由,请立即停止操作并进行调查。高质量的软件通常会清楚地解释为什么需要提升权限。

4. 使用多层安全防护

虽然 XProtect 是一个很好的基础防护方案,但考虑使用信誉良好的第三方防病毒解决方案可以提供额外的启发式分析层,以便在 PamStealer 等“零日”威胁执行之前将其捕获。

相关文章