当前位置:首页 > 探索 > 安全公司曝光黑客山寨苹果macOS剪贴板管理软件Maccy 正文

安全公司曝光黑客山寨苹果macOS剪贴板管理软件Maccy

来源:创艾特资讯网   作者:焦点   时间:2026-07-17 07:22:01

IT之家 7 月 9 日讯 —— 知名安全公司 Jamf 近日发布安全预警,安全指出黑客近期针对苹果 macOS 平台热门剪贴板管理工具 Maccy的公司管理官方网站进行了仿冒。攻击者通过搭建虚假网站,曝光苹果诱导用户下载并安装包含恶意脚本 PamStealer的黑客软件包,从而窃取用户敏感数据。山寨

攻击手法:SEO 竞价排名与仿冒网站

Jamf 分析指出,贴板PamStealer 的软件攻击流程主要分为两个阶段:

  1. 构建仿冒站点:黑客精心制作了与 Maccy 官网高度相似的钓鱼网站。
  2. SEO 操纵:利用搜索引擎的安全竞价排名机制投放广告,提升山寨网站在搜索结果中的公司管理权重,从而增加普通用户误点并下载恶意软件包的曝光苹果概率。

仿冒 Maccy 官网截图

搜索引擎中的黑客仿冒广告

技术细节:绕过沙盒与窃取密码

当用户下载并运行恶意软件包后,内置的山寨 AppleScript脚本会立即执行环境检测:

  • 环境验证:确保当前运行环境并非 macOS 的沙盒模式,以获取更高权限。贴板
  • 社会工程学诱导:脚本会调用 macOS 系统原生的软件 PAM(Pluggable Authentication Modules)认证机制,弹出看似合法的安全系统管理员密码输入窗口。

恶意脚本调用的系统密码输入窗口

危害后果:数据窃取与勒索风险

一旦用户输入管理员密码,恶意软件包将从黑客控制的服务器下载核心恶意载荷 PamStealer。该木马具有以下特征:

  • 技术栈:使用 Rust语言编写,具备较高的执行效率和隐蔽性。
  • 伪装能力:进程名及图标可伪装成 macOS 原生文件管理器“访达(Finder)”,降低用户警惕。
  • 数据窃取:运行后,木马会深度扫描并搜集用户设备上的敏感信息,包括:
  • 浏览器保存的账号密码
  • 加密货币钱包密钥
  • 剪贴板历史数据
  • 后续威胁:所有窃取的数据经过加密处理后,将被上传至黑客服务器,用于后续对受害者发起勒索攻击。

PamStealer 木马伪装成 Finder 进程

安全建议:用户应从 Maccy 官方网站或 Mac App Store 等可信渠道下载软件,切勿轻信搜索引擎中的广告链接,并在输入系统密码前仔细核对弹窗来源。

标签:

责任编辑:知识