一款名為「PamStealer」的新型 macOS 惡意軟體近期開始在野外流傳,它偽裝成廣受 Mac 用戶歡迎的剪貼簿管理器「Maccy」,企圖誘騙使用者安裝。根據 Jamf 的最新研究,PamStealer 仿造了真正的開源 Maccy 的外觀與使用流程,但其真正目的卻是竊取資料、攔截剪貼簿內容,並最終取得受害者的登入密碼。
假的 macOS 應用冒充熱門剪貼簿管理器竊取用戶資料
研究人員指出,PamStealer 通常以磁碟映像(DMG)形式散布,內含一個看似正常的 Maccy 安裝檔,但實際上是一個 AppleScript 腳本。當使用者開啟該檔案時,macOS 會自動以腳本編輯器啟動它,並在畫面上顯示提示,要求使用者按下 Command-R。對一般期待看到標準安裝介面的使用者而言,這是一個不尋常的步驟,但正是這個操作會觸發隱藏的惡意程式碼,讓攻擊正式展開。
PamStealer 的第一階段攻擊刻意保持低調。它不使用常見、容易被安全團隊監控的命令列工具,而是巧妙地利用 macOS 內建的自動化功能下載並啟動下一階段的惡意載荷。這種「借力使力」的方式讓攻擊更不易被偵測,也降低了安全工具發現異常行為的機會。
第二階段的惡意程式則藏身於偽裝成系統組件的應用程式包中。Jamf 發現多個樣本偽裝成 Finder 或軟體更新工具,並使用蘋果官方的 Finder 圖示,使其在背景執行時看起來就像一般系統服務。這種偽裝方式讓使用者更難察覺異常,也提高攻擊的成功率。
PamStealer 最具威脅性的手法,是它精心設計的密碼提示。惡意軟體會跳出一個與 macOS 原生介面幾乎一模一樣的對話框,聲稱 Maccy 需要進行系統變更,要求使用者輸入密碼。更具迷惑性的是,該提示會使用 macOS 的原生登入驗證流程,因此如果使用者輸入錯誤密碼,系統會如常顯示錯誤訊息並再次要求輸入。只有當使用者輸入正確密碼時,PamStealer 才會攔截並記錄下來,隨後再顯示一則虛假的錯誤訊息,宣稱 Maccy 已損壞無法開啟,藉此掩蓋攻擊行為。
除了竊取密碼,研究人員也發現 PamStealer 具備監控剪貼簿、在登入後自動重新啟動自身,以及要求完全磁碟存取權限等能力。在測試中,這些權限請求有時會延遲長達 40 分鐘才出現,使得使用者更難將其與先前的偽造安裝流程聯想在一起。
事件曝光後,Maccy 官方已開始警告用戶注意假冒網站,並強調 maccy.app 是唯一合法、安全的下載來源。研究人員呼籲 Mac 使用者提高警覺,避免從未知來源下載應用程式,並留意任何不尋常的安裝流程或密碼提示,以降低遭受攻擊的風險。



