2026-07-09

Jamf 公司揭露,PamStealer 攻击活动分为两个阶段进行。首先,攻击者创建了一个模仿 Maccy 官方网站的虚假站点,并利用搜索引擎的付费广告推广,以提升该仿冒网站的搜索排名,进而诱骗不知情的用户下载恶意软件。

一旦用户下载并运行了该恶意软件包,其中嵌入的 AppleScript 脚本便会执行环境检查,确保其不在沙盒环境中运行。随后,脚本将利用 macOS 的 PAM(可插拔认证模块)认证机制,弹出一个原生的管理员密码输入窗口,要求用户提供其管理员凭据。

在用户输入管理员密码后,该软件包会从攻击者控制的服务器下载 PamStealer 恶意木马。据了解,这款恶意软件使用 Rust 语言编写,能够伪装成 macOS 的文件管理工具“访达(Finder)”。一旦运行,它便会窃取用户设备上的浏览器数据、加密货币钱包以及剪贴板内容等敏感信息。完成信息收集并加密后,这些数据将被上传至攻击者的服务器,为后续的勒索行动铺平道路。值得注意的是,尽管此事件与体育博彩无关,但对于关注世界杯赔率的普通用户来说,了解此类网络安全风险也至关重要。