برنامه تقلبی کلیپ بورد مک، بدافزار جدیدی برای سرقت رمز عبور ارائه می‌دهد

By: rootdata|2026/07/05 15:46:01
0
اشتراک‌گذاری
copy
امتیازدهی ما در گوگلامتیازدهی ما در گوگل

کاربران مک که به دنبال مدیر کلیپ بورد متن‌باز Maccy هستند، هدف نسخه تقلبی این برنامه قرار گرفته‌اند که یک بدافزار جدید مبتنی بر Rust به نام PamStealer را نصب می‌کند، طبق گزارش شرکت امنیت سایبری Jamf Threat Labs. اگر این بدافزار موفق شود، می‌تواند رمزهای عبور و کلیدهای کیف پول رمزنگاری کاربران را سرقت کند.

در گزارشی که روز پنجشنبه منتشر شد، Jamf Threat Labs گفت که این کمپین از یک وب‌سایت مشابه برای توزیع یک تصویر دیسک حاوی یک فایل AppleScript مخرب به نام Maccy.scpt استفاده می‌کند. هنگامی که این فایل باز می‌شود، دستورالعمل‌هایی را نمایش می‌دهد که به کاربران می‌گوید آن را در ویرایشگر اسکریپت اپل اجرا کنند در حالی که کد مخرب در پایین‌تر سند پنهان شده است.

"ما این بدافزار را تحت نام PamStealer ردیابی می‌کنیم، به دلیل یکی از رفتارهای اصلی آن: تأیید رمز عبور ورود قربانی از طریق ماژول‌های احراز هویت قابل اتصال macOS (PAM) قبل از جمع‌آوری آن،" Jamf Threat Labs نوشت.

از آنجا، بدافزار از JavaScript برای اتوماسیون و APIهای بومی macOS استفاده می‌کند تا یک بارگذاری مرحله دوم را بدون اتکا به ابزارهای شل رایج مانند curl یا zsh دانلود کند و تعداد فرآیندهایی که ابزارهای امنیتی می‌توانند مشاهده کنند را کاهش دهد.

"با بسیاری از سرقت‌کننده‌ها، ما دیده‌ایم که مهاجمان فضای تبلیغاتی گوگل را خریداری می‌کنند تا کاربران را به برنامه مخرب جذب کنند. ما به تازگی مشاهده کرده‌ایم که تبلیغات مخرب نیز در X میزبانی می‌شوند،" مدیر Jamf، Jaron Bradley به Decrypt گفت. "این تکنیک‌های مهندسی اجتماعی ثابت کرده‌اند که بسیار موفق هستند."

طبق گزارش، مرحله دوم یک باینری مبتنی بر Rust است که برای مک‌های Apple Silicon طراحی شده و خود را به عنوان Finder یا به‌روزرسانی نرم‌افزار پنهان می‌کند.

"به جای ذخیره‌سازی پیکربندی خود در متن واضح، دراپر یک کلید از اثر انگشت میزبان استخراج می‌کند---شامل معماری CPU، محلی، چیدمان صفحه کلید و منطقه زمانی---و از آن برای باز کردن یک پیکربندی رمزگذاری شده و بررسی شده از نظر یکپارچگی استفاده می‌کند که شامل URL بارگذاری و مسیر نصب است،" این شرکت گفت.

پس از نصب، بدافزار می‌تواند اعتبارنامه‌های مرورگر و داده‌های Keychain را سرقت کند، محتوای کلیپ بورد را نظارت کند، پایداری ایجاد کند و اطلاعات سرقت شده را به یک سرور فرمان و کنترل از راه دور با استفاده از ارتباطات رمزگذاری شده ارسال کند. اگر نتواند تأیید کند که در هدف مورد نظر خود در حال اجرا است، به آرامی خود را خاموش می‌کند.

بدافزار همچنین سعی می‌کند دسترسی خود را گسترش دهد با نمایش یک هشدار تقلبی Finder که از کاربران می‌خواهد دسترسی کامل به دیسک را اعطا کنند. این درخواست می‌تواند تا 40 دقیقه پس از عفونت ظاهر شود و احتمال اینکه کاربران آن را با دانلود اولیه مرتبط کنند را کاهش می‌دهد. اگر تأیید شود، بدافزار می‌تواند به داده‌های محافظت شده، از جمله Mail، Messages و پشتیبان‌گیری‌های Time Machine دسترسی پیدا کند.

طبق گفته برادلی، Jamf هیچ نشانه‌ای از فعالیت PamStealer در دنیای واقعی مشاهده نکرده است؛ با این حال، این شرکت یافته‌های خود را به اپل اطلاع داده است. اپل بلافاصله به درخواست نظر Decrypt پاسخ نداد.

Jamf گفت که شاهد گسترش تکنیک‌های مشابه مهندسی اجتماعی به سایر پلتفرم‌ها است.

در یک پست X در هفته گذشته، این شرکت گفت که در حال بررسی یک تبلیغ اسپانسری در X است که DynamicLake را ترویج می‌کند و کاربران را به dynamicmacisland.com هدایت می‌کند، جایی که به آنها دستور داده شده است ترمینال را باز کرده و یک دستور نصب را اجرا کنند.

"این تبلیغ از طریق یک حساب تأیید شده X ارائه شد و لایه دیگری از اعتماد به مهندسی اجتماعی اضافه کرد،" این شرکت نوشت. "تحلیل بارگذاری نشان داد که یک واریانت جدید از Atomic (MacSync) Stealer است."

این یافته‌ها در حالی است که مهاجمان به طور فزاینده‌ای بدافزار را به عنوان نرم‌افزار قانونی پنهان می‌کنند و از پلتفرم‌های توسعه‌دهنده معتبر و کانال‌های تبلیغاتی سوءاستفاده می‌کنند. کمپین‌های اخیر شامل یک مخزن تقلبی OpenAI است که به بالای پروژه‌های پرطرفدار Hugging Face رسید قبل از اینکه یک سرقت اطلاعات مبتنی بر Rust توزیع کند، یک افزونه مخرب Visual Studio Code که GitHub گفت تقریباً 3,800 مخزن داخلی را در معرض خطر قرار داده است، و کمپین زنجیره تأمین نرم‌افزار Shai-Hulud که ابزارهای توسعه‌ای را هدف قرار می‌دهد که توسط شرکت‌های هوش مصنوعی از جمله OpenAI و Mistral AI استفاده می‌شود.

قیمت --

--

سلب مسئولیت: این محتوا صرفاً برای اطلاع‌رسانی عمومی و برندینگ ارائه شده و به‌ منزله مشاوره مالی، سرمایه‌گذاری، حقوقی یا مالیاتی تلقی نمی‌گردد. هیچ‌یک از رویدادها، جوایز، رویدادهای آنلاین یا اطلاعات مرتبط ذکرشده در اینجا نباید به‌عنوان توصیه، درخواست یا دعوت برای خرید، فروش، معامله یا هرگونه اقدام دیگر در رابطه با دارایی‌های رمزارزی یا استفاده از خدمات تلقی شوند. دارایی‌های رمزارزی با نوسانات بالایی همراه بوده و ممکن است منجر به زیان شوند. خدمات WEEX و رویدادهای آنلاین ممکن است در تمام مناطق در دسترس نبوده و مشمول قوانین، مقررات و شرایط احراز صلاحیت مربوطه هستند. شما مسئول رعایت قوانین محلی در استفاده از خدمات WEEX هستید و باید پیش از انجام هرگونه فعالیت مرتبط با ارزهای دیجیتال، ریسک‌های آن را به‌دقت بررسی کنید.

ممکن است شما نیز علاقه‌مند باشید

iconiconiconiconiconicon
پشتیبانی مشتری:@weikecs
همکاری تجاری:@weikecs
معاملات کمّی و بازارسازی:bd@weex.com
برنامه VIP:support@weex.com