O nouă amenințare cibernetică a fost descoperită pe platforma macOS, sub numele de PamStealer. Acest malware, care nu seamănă cu programele malițioase tipice pentru Mac, combină o serie de tehnici ingenioase pentru a infecta sistemele și a fura credențialele utilizatorilor într-un mod cât mai discret.
Descoperirea subliniază eforturile tot mai mari depuse în dezvoltarea de programe care vizează furtul de informații pe sistemele Apple.
Mecanismul de funcționare al PamStealer se desfășoară în două etape. Prima etapă este distribuită printr-un fișier imagine de disc, care se prezintă drept Maccy, un manager de clipboard pentru Mac. Acest fișier este compilat sub formă de AppleScript și se remarcă prin modul în care livrează a doua etapă a atacului.
Malarul a primit denumirea de PamStealer deoarece, scris în limbajul de programare Rust, acesta utilizează interfața Pluggable Authentication Modules (PAM) integrată în macOS pentru a valida parola de logare a țintei înainte de a o trimite către un server controlat de atacator.
O execuție mai discretă
Utilizarea atât a imaginilor de disc, cât și a AppleScript este frecventă în cazul malware-ului pentru Mac. Ceea ce este mai neobișnuit la PamStealer este modul în care le combină pentru a obține discreție.
Atunci când utilizatorul deschide fișierul imagine de disc, crezând că instalează un manager de clipboard de încredere, este imediat îndemnat să apese Command-R după dubla clic. Această comandă execută codul malițios din interiorul AppleScript-ului direct, permițând în același timp ocolirea mecanismului com.apple.quarantine. Acesta din urmă este un atribut macOS care generează avertismente și restricții atunci când fișierele executabile au fost descărcate de pe internet.
Primul pas al atacului plasează sarcina utilă (payload) în interiorul unui pachet de aplicații care imită componente reale ale sistemului de operare macOS. Componenta specifică variază de la o mostră la alta a malware-ului. Exemplele includ Finder.app, sub denumiri precum com.apple.finder.core sau com.apple.finder.monitor, și Software Update.app, sub denumirea com.apple.security.daemon. În ambele cazuri, acestea rulează ascunse și afișează iconița originală a Finder-ului din macOS (Finder.icns) ca pictogramă.
A doua etapă este un fișier Mach-O minimalist, creat pentru Mac-urile cu procesoare Apple. Alegerea atacatorului de a scrie acest cod în Rust este relativ neobișnuită pentru programele de tip infostealer destinate macOS, limbajele mai comune fiind Swift, Go și Objective-C. Acest fișier binar apelează interfața de citire a unei aplicații SQLite incluse, permițând astfel malware-ului să acceseze direct fișierele bazei de date.
PamStealer prezintă o fereastră nativă de solicitare a parolei, concepută să semene cu o cerere de autorizare a sistemului. Textul afișat pe ecran este: "Maccy dorește să facă modificări. Introduceți parola pentru a permite acest lucru."
Odată ce utilizatorul introduce parola corectă, PamStealer afișează un mesaj fals, indicând că fișierul este corupt și nu poate fi instalat. Acesta este un element de diversiune menit să împiedice utilizatorul să suspecteze vreo activitate malițioasă.
Malware-ul folosește tactici pentru a maximiza cantitatea de informații pe care o poate fura. O tactică include solicitarea acordării accesului complet la disc pentru aplicația falsă Maccy. De asemenea, conține cod conceput pentru a accesa conturile Ethereum.
Tehnicile utilizate – în special atragerea utilizatorului prin Script Editor, un dropper JXA autonom, a doua etapă scrisă în Rust și validarea locală a credențialelor prin PAM – sunt toate notabile. "Împreună, aceste comportamente ilustrează modul în care programele generice de furt de informații pentru macOS continuă să evolueze, adoptând lanțuri de execuție mai silențioase și implementări native care reduc oportunitățile tradiționale de detecție, rămânând în același timp compatibile cu funcționalitățile standard ale macOS," au subliniat cercetătorii de la Jamf.

