Jamf Threat Labs ідентифікує шкідливе ПЗ PamStealer, яке маскується під додаток Maccy

Jamf Threat Labs виявила новий Rust-інфостилер для macOS під назвою PamStealer, який маскується під менеджер буфера обміну з відкритим кодом Maccy. У звіті, опублікованому в четвер, компанія з кібербезпеки повідомила, що кампанія використовує фейковий вебсайт для поширення шкідливого файлу AppleScript, здатного викрадати паролі та ключі криптогаманців у користувачів Mac. За даними Jamf Threat Labs, шкідливе ПЗ перевіряє паролі входу жертв через модулі плагінів аутентифікації macOS (PAM), перш ніж викрасти їх. Це відкриття відображає ширшу тенденцію атакуючих маскувати шкідливе ПЗ під легітимне програмне забезпечення та зловживати довіреними платформами розробників і рекламними каналами.

Jamf Threat Labs виявляє спосіб поширення PamStealer

За даними Jamf Threat Labs, кампанія використовує сайт-клон для поширення образу диска, що містить шкідливий файл AppleScript під назвою Maccy.scpt. Після відкриття файл показує інструкції, які пропонують користувачам запустити його в редакторі сценаріїв Apple, приховуючи шкідливий код далі в документі.

«Ми відстежуємо це шкідливе ПЗ під назвою PamStealer за однією з його основних дій: перевірка пароля входу жертви через модулі плагінів аутентифікації macOS (PAM) перед його викраденням», — написали в Jamf Threat Labs у звіті.

Директор Jamf Threat Labs Джерон Бредлі повідомив Decrypt, що зловмисники купують рекламу Google Ads, щоб заманити користувачів на шкідливі додатки. «Нещодавно ми спостерігали шкідливу рекламу, розміщену також на X», — сказав Бредлі. «Ці методи соціальної інженерії виявилися дуже успішними».

PamStealer використовує передові методи ухилення

Шкідливе ПЗ використовує JavaScript для автоматизації та рідні API macOS для завантаження корисного навантаження другого етапу без використання поширених утиліт командного рядка, таких як curl або zsh, що зменшує кількість процесів, які можуть спостерігати інструменти безпеки.

За даними звіту, другий етап — це двійковий файл на основі Rust, призначений для Mac на Apple Silicon, який маскується під Finder або Software Update. «Замість зберігання конфігурації у відкритому тексті, дропер отримує ключ з відбитка хоста — включаючи архітектуру процесора, локаль, розкладку клавіатури та часовий пояс — і використовує його для розблокування зашифрованої конфігурації з перевіркою цілісності, що містить URL-адресу корисного навантаження та шлях встановлення», — повідомила компанія.

Якщо шкідливе ПЗ не може підтвердити, що воно працює на цільовій системі, воно тихо завершує роботу.

Можливості шкідливого ПЗ включають крадіжку облікових даних і стійкість

Після встановлення шкідливе ПЗ може викрадати облікові дані браузера та дані Keychain, відстежувати вміст буфера обміну, забезпечувати стійкість і надсилати викрадену інформацію на віддалений командний сервер за допомогою зашифрованого зв'язку.

Шкідливе ПЗ намагається розширити свій доступ, показуючи підроблене сповіщення Finder із запитом на надання повного доступу до диска. Підказка може з'являтися до 40 хвилин після зараження, що знижує ймовірність того, що користувачі пов'яжуть її з оригінальним завантаженням. Якщо дозвіл надано, шкідливе ПЗ може отримати доступ до захищених даних, включаючи пошту, повідомлення та резервні копії Time Machine.

За словами Бредлі, Jamf не спостерігав жодних доказів активності PamStealer у дикій природі. Компанія повідомила Apple про свої знахідки. Apple не відповіла одразу на запит Decrypt щодо коментаря.

Jamf виявляє пов'язану кампанію на платформі X

Jamf повідомляє, що спостерігає подібні методи соціальної інженерії, які поширюються на інші платформи. У дописі на X минулого тижня компанія заявила, що розслідує спонсоровану рекламу на X, яка рекламує DynamicLake і перенаправляє користувачів на dynamicmacisland[.]com, де їм пропонують відкрити Термінал і виконати команду встановлення.

«Реклама була розміщена через верифікований обліковий запис X, що додає ще один рівень довіри до соціальної інженерії», — написала компанія. «Аналіз корисного навантаження виявив нещодавній варіант Atomic (MacSync) Stealer».

Відкриття відображає ширшу тенденцію шкідливого ПЗ

Ці результати з'являються в той час, коли зловмисники все частіше маскують шкідливе ПЗ під легітимне програмне забезпечення та зловживають довіреними платформами розробників і рекламними каналами. Останні кампанії включали фейковий репозиторій OpenAI, який потрапив у топ проєктів Hugging Face, перш ніж поширити Rust-інфостилер, шкідливе розширення Visual Studio Code, яке, за даними GitHub, викрило приблизно 3,800 внутрішніх репозиторіїв, а також кампанію Shai-Hulud з атаки на ланцюжок постачання ПЗ, націлену на інструменти розробки, які використовують компанії ШІ, включаючи OpenAI та Mistral AI.

FAQ

Що таке шкідливе ПЗ PamStealer і як воно націлюється на користувачів Mac?

PamStealer — це Rust-інфостилер для macOS, виявлений Jamf Threat Labs, який маскується під менеджер буфера обміну з відкритим кодом Maccy. Шкідливе ПЗ поширюється через фейковий вебсайт, який доставляє шкідливий файл AppleScript. Воно перевіряє паролі входу жертв через модулі плагінів аутентифікації macOS (PAM), перш ніж викрасти облікові дані браузера, дані Keychain і відстежувати вміст буфера обміну.

Як PamStealer уникає виявлення інструментами безпеки?

За даними Jamf Threat Labs, PamStealer використовує JavaScript для автоматизації та рідні API macOS для завантаження корисного навантаження другого етапу без використання поширених утиліт командного рядка, таких як curl або zsh, що зменшує кількість процесів, які можуть спостерігати інструменти безпеки. Шкідливе ПЗ також отримує ключ з відбитка хоста для розблокування зашифрованої конфігурації та завершує роботу, якщо не може підтвердити, що воно працює на цільовій системі.

Чи спостерігала Jamf використання PamStealer в активних атаках?

За словами директора Jamf Threat Labs Джерона Бредлі, Jamf не спостерігав жодних доказів активності PamStealer у дикій природі. Компанія повідомила Apple про свої знахідки, але Apple не відповіла одразу на запит Decrypt щодо коментаря.

Застереження: інформація на цій сторінці може походити зі сторонніх джерел і надається виключно для ознайомлення. Вона не відображає позицію чи думку Gate і не є фінансовою, інвестиційною чи юридичною консультацією. Торгівля віртуальними активами пов’язана з високим ризиком. Будь ласка, не покладайтеся лише на інформацію з цієї сторінки під час прийняття рішень. Детальніше дивіться у Застереженні.
Прокоментувати
0/400
Немає коментарів