伪装成 Mac 应用的木马专偷加密钱包密钥——山寨下载是如何得手的
安全公司 Jamf Threat Labs 发现了一款新的 Mac 恶意软件,代号 PamStealer。它伪装成一款很受欢迎的免费剪贴板工具,用来窃取密码、浏览器登录信息和加密钱包密钥。研究人员表示,目前还没有看到它对真实用户下手,并已通…
安全公司 Jamf Threat Labs 发现了一款新的 Mac 恶意软件,代号 PamStealer。它伪装成一款很受欢迎的免费剪贴板工具,用来窃取密码、浏览器登录信息和加密钱包密钥。研究人员表示,目前还没有看到它对真实用户下手,并已通知苹果,但它的传播套路,是每个新手都该学会识别的。
骗局从一个山寨网站开始,模仿的是正规开源剪贴板工具 Maccy。下载下来的是一个磁盘映像,里面藏着一段恶意脚本。打开后,它会显示看起来很友好的说明,引导你在苹果的“脚本编辑器”(Script Editor)里运行它,而真正的恶意代码则被藏在文件更靠下的位置。有一个细节值得注意:在窃取你的登录密码之前,这个木马会先通过 macOS 的一个内置系统悄悄验证密码是否正确——它的代号也由此而来。
一旦运行,它会下载第二个程序,伪装成访达(Finder)或“软件更新”。之后,它可以窃取浏览器里保存的密码、读取 macOS 钥匙串(Keychain)中的数据、监视你复制到剪贴板的一切内容,并把这些信息发送给攻击者。为了获得更大权限,它会弹出一个假的访达提示,索要“完全磁盘访问权限”,而且这个提示可能在你安装应用后最多 40 分钟才出现,让你很难把两者联系起来。
这其实并不只是某一款应用的问题。Jamf 表示,攻击者经常花钱购买谷歌广告位来推广这些假货;他们最近还在 X 上发现了一条通过“已认证账号”投放的赞助广告,推广另一款 Mac 工具,诱导用户把一段命令粘贴进“终端”(Terminal),从而安装了另一种窃密木马。同一波攻击里还出现过假冒的 OpenAI 代码仓库和恶意的代码编辑器插件。诱饵在变,目的始终不变:骗你亲手运行攻击者的代码。
对新手来说,几个习惯就能挡掉大部分风险。只从开发者官网或可信应用商店下载应用;对任何要你在“脚本编辑器”里运行脚本、或往“终端”里粘贴命令的下载,都要高度警惕——无论广告或账号看起来多正规。把索要“完全磁盘访问权限”的请求当成危险信号。对加密货币而言,一个能监视剪贴板、读取钥匙串的工具,就足以掏空钱包,所以把有价值的资产放进硬件钱包,绝不要把助记词存在任何软件能读到的地方。以上是信息,不是投资建议。