2026-07-09

Jamf 指出,PamStealer 攻击活动被划分为两个阶段。攻击者首先创建一个模仿 Maccy 官方网站的假冒网站,并利用搜索引擎的付费广告机制推广该仿冒网站,从而吸引不知情的用户下载恶意软件。

当用户下载并执行了恶意软件包后,其中包含的 AppleScript 脚本会首先检查运行环境,确保其不在沙盒内。随后,脚本会利用 macOS 的 PAM 认证机制,弹出系统自带的管理员密码输入窗口,要求用户输入密码。

一旦用户输入了管理员密码,该软件包便会从攻击者控制的服务器下载 PamStealer 恶意软件。这款恶意软件使用 Rust 语言编写,能够伪装成 macOS 的“访达(Finder)”。执行后,它会收集用户设备上的浏览器数据、加密货币钱包、剪贴板等敏感信息,并将这些信息加密后发送到攻击者的服务器,以便后续进行勒索。