Jamf 指出,PamStealer 攻击行动分为两个主要步骤。首先,攻击者建立了一个模仿 Maccy 官方网站的虚假站点,并利用搜索引擎的付费广告推广该仿冒网站,以提高其在搜索结果中的可见度,从而诱骗不知情的用户下载恶意软件。

一旦用户下载并运行了该恶意软件包,其中包含的 AppleScript 脚本会首先检查运行环境,确保其不在沙盒内运行。随后,脚本会利用 macOS 的 PAM 认证机制,弹出一个系统自带的管理员密码输入界面,要求用户输入密码。

在用户输入管理员密码后,该软件包会从攻击者控制的服务器下载 PamStealer 恶意软件。这款用 Rust 编写的木马会伪装成 macOS 的“访达(Finder)”应用程序。一旦运行,它便开始收集用户设备上的浏览器数据、加密货币钱包、剪贴板内容等敏感信息。收集并加密这些信息后,木马会将它们上传到攻击者的服务器,以便后续进行勒索。