PamStealer, malware pentru Mac care fură parole, se ascunde în aplicații inofensive

0
2
pamstealer,-noul-malware-care-vaneaza-parolele-utilizatorilor-de-mac:-cum-se-ascunde-intr-o-aplicatie-aparent-inofensiva
PamStealer, noul malware care vânează parolele utilizatorilor de Mac: cum se ascunde într-o aplicație aparent inofensivă

Un nou program malițios destinat utilizatorilor de Mac exploatează încrederea în aplicațiile legitime pentru a fura date sensibile, fiind construit pe o structură subtilă și sofisticată. Atacul se bazează pe o copie falsificată a aplicației Maccy, un clipboard manager pentru macOS, și utilizează fișiere de tip script pentru a instala malware-ul fără suspectare.

Modus operandi al atacului

Programul răspândit, denumit PamStealer, provine dintr-un fișier imagine de disc falșificat, cu elemente grafice care imită Maccy. Victima este încurajată să deschidă fișierul și să execute o comandă aparent banală: Command + R în Script Editor. Înainte de acest pas, fișierul conține un script AppleScript compilat, parțial ascuns, ce nu atrage atenția utilizatorului.

Executarea și distribuția malware-ului

Scriptul AppleScript, cu extensia .scpt, poate fi deschis în Script Editor, folosit pentru automatizări pe macOS. La rulare, acesta descarcă alte componente ale malware-ului, utilizând JavaScript for Automation și API-uri native macOS, pentru a reduce urmele vizibile și a evita detectarea simplistă a antivirușilor.

Tehnici avansate și targetare specifică

Dispozitivele țintă sunt Mac-urile cu procesoare Apple Silicon. Dacă sistemul nu corespunde anumitor condiții tehnice, componenta malițioasă se oprește discret, reducând riscul analizelor automate sau în medii de testare. Acest mecanism arată un nivel crescut de sofisticare în selectarea țintelor.

Furtul datelor și mecanismul de verificare

Componenta folosită pentru extragerea datelor este scrisă în Rust și se ascunde în foldere și aplicații ce mimează elemente de sistem, precum Finder sau Software Update. Unele variante afișează iconițe originale macOS pentru a părea credibile și rulează fără intervenție vizibilă pentru utilizator.

Verificarea parolei și înșelăciunea de tip phishing

Când malware-ul solicită parola pentru modificări, mesajul pare a fi o solicitare obișnuită de autorizare macOS. Utilizatorul este întrebat să introducă parola contului, iar programul o verifică local, folosind sistemul PAM. Astfel, dacă parola este corectă, atacatorii pot păstra și ulterior folosi informația.

Dacă parola introdusă este greșită, mesajul se repeta, înlăturând suspiciunile. În cazul parolelor corecte, malware-ul afișează apoi un mesaj fals despre un fișier deteriorat, pentru a induce în eroare victimă și a nu suspecta furtul datelor.

LĂSAȚI UN MESAJ

Vă rugăm să introduceți comentariul dvs.!
Introduceți aici numele dvs.