一款开源免费的macOS剪贴板管理工具,居然被黑产盯上,其官网被整个“移植”成钓鱼站。安全机构Jamf近日披露,黑客山寨了知名剪贴板软件Maccy的官方网站,用来分发名为PamStealer的信息窃取木马。这不是偷偷挂马,而是直接复制网站界面,再砸钱做竞价排名,等着用户主动走进来。

整个攻击链条分工清晰,有五步值得拆解:

打开网易新闻 查看精彩图片

第一步,钓鱼站靠广告上位。黑客用搜索引擎的竞价排名机制,给山寨Maccy网站买广告位,人为抬高它在搜索结果里的权重。用户搜“Maccy下载”,第一眼看到的很可能就是假官网,界面和真站一模一样,极难分辨。

第二步,安装脚本先“摸清家底”。用户下载的恶意软件包内置了AppleScript脚本,启动后会检查当前运行环境,确认自己不在沙盒里。这一步是自保,避免在安全人员的分析环境里暴露行为。

第三步,明着要管理员密码。脚本一旦觉得环境安全,就调用macOS的PAM认证机制,直接在桌面弹出系统原生样式的管理员密码输入框。没有复杂的社会工程话术,就是用系统弹窗——很多用户会下意识输入密码,以为这是安装工具时的正常授权。

第四步,木马伪装成Finder。等密码到手,软件包会从黑客服务器下拉用Rust编写的PamStealer木马。这个木马启动后把自己伪装成苹果系统自带的文件管理器“访达”,外观和行为都足够低调,混在进程列表里毫不起眼。

第五步,打包劫持数字钱包、浏览器和剪贴板。木马的窃取范围相当贪婪:浏览器数据、加密货币钱包、剪贴板内容等等,全在收集列表上。所有敏感信息打包加密后上传到黑客控制的服务器,最终目的是为后续的勒索铺路。

这整套操作几乎没有用到零日漏洞,全靠对macOS正常功能的滥用和用户对弹窗的惯性信任。Jamf提醒,PamStealer会持续威胁安装来源不明的软件包,即使工具口碑不错,下载时也务必核对官网域名,别把管理员密码交给一个伪装成“正常流程”的对话框。