Sammendrag generert av Smart Answers AI
Oppsummert:
- Macworld rapporterer at Jamf Threat Labs har identifisert PamStealer, en ny macOS-skadevare som retter seg mot brukere av Maccy-utklippstavlen via falske nettsteder som distribuerer AppleScript-filer.
- Skadevaren bruker en rolig utførelseskjede med JXA og Rust for å stjele påloggingspassord via macOS Pluggable Authentication Modules, noe som gjør det vanskelig å oppdage.
- Brukere bør kun laste ned Maccy fra det offisielle maccy.app-nettstedet eller GitHub, unngå mistenkelige linker og bruke App Store for å installere sikker programvare.
Jamf har Threat Labs utstedt en rapport om den nye programvaren som brukerne Maccy tredje buffer manager trenger å være klar over. Skadevaren, kalt «PamStealer», distribueres av ondsinnede nettsteder som utgir seg for å være den ekte Maccy-nettsiden med nedlastbare filer som lurer besøkende til å tro at de får legitime Maccy-filer.
Filene er falske Maccy.scpt AppleScript-filer lages som legitime installasjonsfiler og distribueres på diskbilder. Hvis skriptet startes, blir brukere bedt om å kjøre skriptet, som deretter oppretter en nyttelast som kan spore data på Mac-en og sende dem til en trusselagent. Navnet PamStealer refererer til autentiseringen av offerets påloggingspassord av skadelig programvare via MacOS Pluggable Authentication Modules (PAM).
For å unngå å laste ned skadelige filer, bør Maccy-kunder sørge for at de besøker maccy.app-nettstedet. I følge ansvarsfraskrivelsen på denne nettsiden er «maccy.app det eneste offisielle nettstedet.» Kunder kan også besøke Maccys GitHub-nettsted på https://github.com/p0deje/Maccy, som sier at «maccy.app er det eneste offisielle nettstedet.»
Maccy er en gratis åpen kildekode utklippstavlebehandler som sporer utklippstavlehistorie. Apple introduserte nettopp en samtalehistorikksporing macOS Tahoe gjennom Spotlight, så disse tredjepartsadministratorene er populære blant superbrukere. Som Jamf forklarer, kan mekanismen som denne trusselen overføres med, ha vidtrekkende konsekvenser utover dette spesifikke programmet:
Selv om diskbilder og AppleScript malware er godt etablert i macOS, kombinerer PamStealer dem på en interessant måte. I stedet for å stole på shell-kommandoer som
curlellerzshAppleScript implementerer en frittstående JavaScript for Automation (JXA)-nedlasting som oppdager og iscenesetter arbeidsbelastninger ved hjelp av native Objective-C APIer. Kombinert med et rustbasert andre trinn og en arbeidsflyt for registrering av passord som validerer legitimasjon lokalt via PAM, er resultatet en jevnere utførelseskjede enn vi vanligvis ser hos macOS-hackere.
Rapporten beskriver hvordan angrepet lurer brukere og konkluderer: «Denne atferden viser hvordan macOS-hackere fortsetter å utvikle seg, ved å ta i bruk roligere kjeder og lokale implementeringer som reduserer tradisjonelle deteksjonsmuligheter og er på linje med standard macOS-funksjoner.»
Hvordan beskytte deg mot skadelig programvare
Den enkleste måten å beskytte deg mot skadelig programvare er å unngå å laste ned programvare fra ukjente nedlastingssider. Drep aldri lenker i e-poster eller tekster du mottar fra ukjente og uventede kilder. Hvis du mottar en e-post som ser ut til å være fra en organisasjon du gjør forretninger med, sjekk avsenderens e-postadresse og dobbeltsjekk URL-en. Hvis du ser en lenke eller knapp, kan du Ctrl-klikke på den, velge Kopier URL, og deretter lime den inn i et tekstredigeringsprogram for å se den faktiske URL-adressen der.
Apple har testet programvaren i Mac App Store, og det er den sikreste måten å finne apper på. Hvis du ikke ønsker å beskytte Mac App Store, kan du kjøpe programvaren direkte fra utvikleren og nettstedet deres. Hvis du insisterer på å bruke cracket programvare, vil du alltid risikere å bli utsatt for skadelig programvare.
Macworld har flere guider til hjelp, inkludert en guide om Trenger du antivirusprogramvare eller ikke?en liste over Mac-virus, skadelig programvare og trojanereog a Sammenligning av Mac-sikkerhetsprogramvare.