Нова небезпечна програма PamStealer, виявлена дослідниками з кібербезпеки Jamf Threat Labs, становить серйозну загрозу для користувачів macOS, застосовуючи витончені методи для викрадення облікових даних та іншої конфіденційної інформації. Це шкідливе програмне забезпечення використовує двохетапний процес інфікування, що ускладнює його виявлення традиційними засобами захисту.
PamStealer: детальний аналіз механізму
Етап перший: Маскування під легітимний додаток
Процес інфікування починається з поширення образу диска, який видає себе за популярний менеджер буфера обміну Maccy. Цей образ містить скрипт AppleScript, що діє як завантажувач для другого етапу атаки.
Етап другий: Викрадення пароля за допомогою PAM
На другому етапі активується файл Mach-O, написаний на мові Rust. Він імітує стандартне вікно авторизації macOS, вимагаючи від користувача введення пароля для нібито внесення змін у роботу Maccy. Після введення даних, PamStealer використовує вбудований у macOS інтерфейс Pluggable Authentication Modules (PAM) для локальної перевірки пароля перед його відправкою на сервери зловмисників. Це ключова особливість, що дала назву програмі.
- PamStealer отримав свою назву завдяки використанню PAM для перевірки пароля.
- Програма повторно запитує пароль, доки не отримає правильні дані.
- Після успішного введення пароля, PamStealer видає фальшиве повідомлення про пошкодження файлу, щоб уникнути підозр.
Унікальні тактики PamStealer
Обхід систем захисту
На відміну від багатьох інших шкідливих програм, PamStealer перевіряє пароль виключно через PAM, не залучаючи сторонні процеси, такі як dscl, security або osascript. Цей підхід робить його дії менш помітними для систем безпеки.
Це дозволяє захисній системі фіксувати підозрілу активність.
Розширене викрадення даних
- PamStealer вимагає повний доступ до диска для нібито покращення роботи Maccy.
- Шкідливе ПЗ містить спеціальний код для пошуку та викрадення криптогаманців Ethereum.
Рекомендації щодо захисту
Для захисту від подібних загроз користувачам macOS рекомендується бути вкрай обережними при введенні паролів, особливо якщо додатки запитують їх у несподіваних ситуаціях. Важливо також регулярно оновлювати операційну систему та антивірусне програмне забезпечення, а також уникати завантаження файлів з неперевірених джерел.
Актуальна інформація про кіберзагрози
Світ кібербезпеки постійно розвивається, і поява таких програм, як PamStealer, підкреслює необхідність підвищеної уваги до питань захисту даних. Дослідники Jamf Threat Labs продовжують моніторинг нових загроз, надаючи цінну інформацію для користувачів та компаній.




