macOS 用の人気クリップボード マネージャーである Maccy の偽造バージョンが、新たに発見された PamStealer と呼ばれる Mac マルウェア株の配布に使用されています。 Jamf の研究者らによると、このマルウェアは本物のオープンソース アプリになりすますが、その本当の目的はデータを盗み、被害者のログイン パスワードを取得することです。
PamStealer は、Maccy になりすました AppleScript ファイルを含むディスク イメージとして提供されます。ユーザーがそのファイルを開くと、macOS によってスクリプト エディタが起動され、画面上の指示では Command-R を押すよう指示されます。通常のアプリ インストーラーを期待している人にとって、これは厄介なセットアップ手順のように思えるかもしれません。実際、このアクションにより隠れたマルウェア コードが実行され、攻撃が開始されます。

偽のインストーラーが攻撃を開始
攻撃の最初の部分は静かになるように設計されています。研究者らによると、このマルウェアは、セキュリティチームがよく探す通常のMacコマンドラインツールを使用する代わりに、Apple独自の自動化機能を使用してダウンロードして次のステップを起動するという。
その後、ペイロードは、本物の macOS コンポーネントを装うアプリ バンドル内に隠蔽されます。 Jamf は、Finder またはソフトウェア アップデートとして提供されるサンプルを見つけました。これらの偽のコンポーネントはバックグラウンドで実行され、Apple の Finder アイコンを使用するため、攻撃の信頼性が高まります。

パスワードプロンプトは本当に脅威です
PamStealer の最も懸念すべきトリックは、パスワード プロンプトです。このマルウェアは、Mac が変更を求めていることを示し、ユーザーにパスワードの入力を求めるネイティブの Mac ダイアログを表示します。パスワードのチェックは、macOS 独自のログイン検証システムを通じて行われます。正しくない場合は、プロンプトが再度表示されます。正しいパスワードが入力されると、マルウェアがそのパスワードを捕捉し、Macy が破損しているため開けないという偽のメッセージを表示します。
研究者はまた、PalmStealer がクリップボードを表示し、ログイン後に再度実行するように自身を登録し、後でフル ディスク アクセスを要求する可能性があることも発見しました。テストでは、そのプロンプトが 40 分後に表示されることがあり、リクエストを偽のインストーラーに接続することが困難になりました。
メイシーズの公式チャネルは現在、偽ウェブサイトについてユーザーに警告するとともに、アプリを入手できる唯一の正規の場所として macy.app を案内している。







Leave a Reply