Исследователи обнаружили ранее не встречавшееся вредоносное программное обеспечение для macOS, которое сочетает серию продуманных приёмов для скрытного заражения компьютеров Mac специально разработанным кодом, нацеленным на кражу учётных данных. Вредонос доставляется в два этапа и получил имя PamStealer.

Первый этап распространяется в виде образа диска, маскирующегося под Maccy — популярный менеджер буфера обмена для Mac. Этот образ скомпилирован как сценарий AppleScript, примечательный способом, которым он запускает второй этап заражения. Такое применение образов диска совместно с AppleScript не редкость для вредоносного ПО под macOS, но PamStealer использует их взаимосвязь необычным образом ради повышения скрытности.

При двойном щелчке по AppleScript файл открывается в редакторе сценариев macOS — Script Editor, где вредоносная функциональность спрятана глубоко внутри. Именно это действие позволяет незаметно запустить второй этап в обход стандартных предупреждений безопасности.

Название PamStealer отражает ключевую технику: написанный на языке Rust инфостилер применяет интерфейс подключаемых модулей аутентификации (Pluggable Authentication Modules, PAM), встроенный в macOS, чтобы проверить пароль пользователя при входе в систему. Только после успешной проверки пароль отправляется на управляемый злоумышленником сервер, что делает цепочку выполнения атаки более тихой и затрудняет её обнаружение.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *