Jamf 方面披露,PamStealer 攻击活动分为两个阶段进行。首先,攻击者会建立一个模仿 Maccy 官方网站的虚假站点,并利用搜索引擎的付费广告推广该仿冒网站,以提高其在搜索结果中的可见度,从而诱导不知情的用户下载恶意软件。
当用户下载并运行了该恶意软件包后,其中包含的 AppleScript 脚本会首先检查运行环境,以确认并非在沙盒中执行。随后,脚本会利用 macOS 的 PAM 认证系统,弹出系统自带的管理员密码输入界面,要求用户提供其管理员凭证。
一旦用户输入了管理员密码,该软件包便会从攻击者控制的服务器下载 PamStealer 恶意软件。这款恶意软件以 Rust 语言编写,能够伪装成 macOS 的“访达(Finder)”应用程序。在执行后,它会搜集用户设备上的浏览器数据、加密货币钱包以及剪贴板中的敏感信息。收集到的信息会被加密并上传到攻击者的服务器,以便后续进行勒索攻击。