แอปคลิปบอร์ดปลอมบน Mac แจกจ่ายมัลแวร์ขโมยรหัสผ่าน PamStealer

ตามที่ Jamf Threat Labs ระบุ เมื่อวันพฤหัสบดีที่ผ่านมา บริษัทด้านความปลอดภัยทางไซเบอร์ได้ระบุว่ามีเวอร์ชันปลอมของ Maccy clipboard manager ที่ส่งมัลแวร์ Rust ตัวใหม่ที่เรียกว่า PamStealer แอปที่เป็นอันตรายนี้เผยแพร่ผ่านเว็บไซต์ปลอมที่มีไฟล์ AppleScript ซึ่งเมื่อถูกเรียกใช้งานจะเก็บรวบรวมรหัสผ่านและคีย์กระเป๋าเงินคริปโตของผู้ใช้ โดยการตรวจสอบข้อมูลรับรองการเข้าสู่ระบบผ่านโมดูลการรับรองความถูกต้องแบบเสียบได้ (Pluggable Authentication Modules - PAM) ของ macOS เมื่อติดตั้งแล้ว มัลแวร์จะใช้ JavaScript for Automation และ API ดั้งเดิมของ macOS เพื่อดาวน์โหลดเพย์โหลดระยะที่สองซึ่งออกแบบมาสำหรับ Mac ที่ใช้ชิป Apple Silicon มันสามารถขโมยข้อมูลรับรองเบราว์เซอร์และข้อมูล Keychain ตรวจสอบเนื้อหาคลิปบอร์ด สร้างความคงอยู่ (persistence) และขอสิทธิ์การเข้าถึงดิสก์แบบเต็ม (Full Disk Access) เพื่อเข้าถึงไฟล์ที่ได้รับการป้องกันรวมถึง Mail, Messages และ Time Machine backups จนถึงขณะนี้ Jamf ยังไม่ตรวจพบแคมเปญ PamStealer ที่กำลังดำเนินอยู่ แต่ได้แจ้งให้ Apple ทราบถึงสิ่งที่พบ
news.article.disclaimer

news.related.news

แสดงความคิดเห็น
0/400
ไม่มีความคิดเห็น