PamStealer nie tylko podszywa się pod popularną aplikację Maccy, ale również lokalnie weryfikuje poprawność hasła użytkownika za pomocą mechanizmu PAM, zanim wyśle je na serwer atakującego.
Fałszywa strona i nietypowy łańcuch infekcji
Jak podaje ArsTechnica, atak zaczyna się od fałszywej strony internetowej podszywającej się pod prawdziwy serwis Maccy – popularnego, open-source’owego menedżera schowka dla komputerów Mac. Złośliwa domena imituje wygląd oryginalnej witryny i skłania użytkowników do pobrania pliku, który rzekomo jest aplikacją Maccy.
W praktyce ofiara pobiera obraz dysku zawierający złośliwy skompilowany plik AppleScript. Po uruchomieniu malware najpierw sprawdza charakterystykę systemu, układ klawiatury oraz ustawienia regionalne – prawdopodobnie po to, by uruchamiać się wyłącznie na maszynach należących do wybranej grupy ofiar. Dopiero wtedy pierwszy etap ataku, zamiast uruchamiać typowe polecenia powłoki, wykorzystuje samodzielny downloader JavaScript for Automation (JXA), który pobiera właściwą paczkę ze złośliwym oprogramowaniem. Według analityków takie podejście pozwala ograniczyć liczbę procesów, które mogłyby zostać wykryte przez narzędzia bezpieczeństwa. Drugi etap infekcji został napisany w języku Rust, co nadal pozostaje stosunkowo rzadkim wyborem w przypadku malware przeznaczonego dla macOS.
Weryfikacja hasła jeszcze przed kradzieżą
Najbardziej charakterystycznym elementem PamStealera – i źródłem jego nazwy – jest sposób pozyskiwania hasła użytkownika. Złośliwe oprogramowanie wyświetla okno przypominające natywny monit autoryzacyjny systemu macOS, z komunikatem informującym, że aplikacja Maccy chce wprowadzić zmiany w systemie.

Po wpisaniu hasła malware nie zapisuje go od razu. Najpierw sprawdza jego poprawność lokalnie, wykorzystując interfejs Pluggable Authentication Modules (PAM), będący częścią macOS. Dzięki temu operatorzy otrzymują wyłącznie prawidłowe dane logowania, a sam proces odbywa się bez uruchamiania narzędzi takich jak dscl, security czy osascript, które są często wykorzystywane przez inne infostealery i mogą ułatwiać wykrycie ataku. Jeżeli użytkownik poda błędne hasło, komunikat jest wyświetlany ponownie, aż do momentu wpisania właściwego.
Podszywanie się pod komponenty systemu
Badacze zwracają uwagę, że drugi etap działania tego złośliwego oprogramowania przykłada dużą wagę do ukrywania swojej obecności. PamStealer podszywa się pod Findera, wyświetlając jego autentyczną ikonę. Ruch do serwera sterującego jest szyfrowany, a prośba o przyznanie uprawnień Full Disk Access może zostać opóźniona nawet o 40 minut, aby utrudnić powiązanie jej z momentem uruchomienia złośliwego programu.
Po uzyskaniu dostępu malware zajmuje się kradzieżą danych logowania i danych przeglądarki, przechwytuje zawartość schowka systemowego, a także zapewnia sobie trwałość w systemie (persistence) i eksfiltrację zebranych informacji.
Rosnąca dojrzałość zagrożeń dla macOS
Zdaniem Jamf Threat Labs PamStealer pokazuje kierunek rozwoju współczesnych infostealerów dla komputerów Apple. Zamiast wykorzystywać głośne techniki lub nieznane luki bezpieczeństwa, autorzy malware coraz częściej opierają się na legalnych mechanizmach systemu operacyjnego i starają się maksymalnie ograniczyć ślady swojej aktywności. Takie podejście utrudnia wykrywanie zagrożeń przy zachowaniu pełnej zgodności z funkcjami oferowanymi przez macOS.
Menedżery schowka takie jak Maccy pozostają popularne wśród zaawansowanych użytkowników Maca – natywną historię schowka Apple wprowadził dopiero w systemie macOS Tahoe, w formie integracji ze Spotlight. To częściowo tłumaczy, dlaczego akurat ta kategoria aplikacji stała się atrakcyjnym celem podszywania się dla twórców malware.
Jak się ustrzec?
Jamf zaleca pobieranie oprogramowania wyłącznie z zaufanych źródeł oraz zachowanie ostrożności wobec nieoczekiwanych próśb o hasło administratora i próśb o uprawnienia Full Disk Access. Użytkownicy Maccy powinni upewnić się, że korzystają wyłącznie z oficjalnej domeny maccy.app – zarówno ta strona, jak i oficjalne repozytorium projektu na GitHubie zastrzegają, że jest to jedyne autoryzowane źródło aplikacji.
Warto również nadmienić, że to nie jedyny nietypowy malware ostatnimi czasy. A przekonać się mogli o tym dyplomaci, którzy skusili się na… butelkę wina.











0 komentarzy