Новый вредоносный код PamStealer для macOS использует хитрые методы взлома, чтобы оставаться незаметным
Исследователи обнаружили ранее не встречавшееся вредоносное ПО для macOS, которое сочетает в себе хитрые методы для заражения компьютеров Mac скрытым кодом, разработанным специально для кражи учётных данных, пишет Ars Technica.
Вредоносная программа распространяется в два этапа. Первый этап распространяется в виде образа диска, замаскированного под Maccy, менеджер буфера обмена для Mac. Он скомпилирован как AppleScript, что примечательно тем, как она запускает второй этап. Вредоносное ПО называется PamStealer, потому что оно использует интерфейс Pluggable Authentication Modules (PAM), встроенный в macOS, для проверки пароля входа цели перед отправкой его на сервер, контролируемый злоумышленником.
Вредоносные программы для Mac часто используют образ диска и AppleScript, а PamStealer их сочетает. При запуске AppleScript он открывается в редакторе скриптов macOS, где вредоносная функциональность скрыта глубоко внутри файла.
«Вместо того чтобы полагаться на команды оболочки, такие как curl или zsh, AppleScript выполняет самодостаточный загрузчик JavaScript for Automation (JXA), который извлекает и подготавливает полезную нагрузку с использованием нативных API Objective-C, — рассказали исследователи из компании по обеспечению безопасности пользователей macOS Jamf. — В сочетании со вторым этапом на основе Rust и рабочим процессом сбора паролей, который локально проверяет учётные данные через PAM, результатом является более тихая цепочка выполнения, чем мы обычно наблюдаем у рядовых инфостилеров для macOS».
Когда пользователь, ожидающий установки надёжного менеджера буфера обмена, сталкивается с образом диска, ему предлагается нажать Command-R сразу после двойного щелчка по нему. Эта команда запускает вредоносный код
Читать на habr.com


