Jamf Threat Labs идентифицирует вредоносное ПО PamStealer, маскирующееся под приложение Maccy

Jamf Threat Labs выявила новый Rust-based macOS-инфостилер под названием PamStealer, маскирующийся под open-source менеджер буфера обмена Maccy. В отчете, опубликованном в четверг, компания по кибербезопасности сообщила, что кампания использует поддельный сайт для распространения вредоносного файла AppleScript, способного красть пароли и ключи криптокошельков у пользователей Mac. Согласно Jamf Threat Labs, вредонос проверяет пароли входа жертвы через модули подключаемой аутентификации macOS (PAM) перед их сбором. Обнаружение отражает более широкую тенденцию: злоумышленники маскируют вредоносное ПО под легитимное программное обеспечение и злоупотребляют доверенными платформами разработчиков и рекламными каналами.

Jamf Threat Labs обнаруживает метод распространения PamStealer

Согласно Jamf Threat Labs, кампания использует сайт-клон для распространения образа диска, содержащего вредоносный файл AppleScript с именем Maccy.scpt. При открытии файл отображает инструкции, предлагающие пользователям запустить его в Apple Script Editor, скрывая вредоносный код ниже по документу.

«Мы отслеживаем это вредоносное ПО под названием PamStealer по одной из его ключевых функций: проверка пароля входа жертвы через модули подключаемой аутентификации macOS (PAM) перед его сбором», — написали Jamf Threat Labs в отчете.

Директор Jamf Threat Labs Джэрон Брэдли сообщил Decrypt, что злоумышленники покупают рекламу в Google, чтобы заманить пользователей на вредоносные приложения. «Недавно мы наблюдали вредоносную рекламу, размещаемую также на X», — сказал Брэдли. «Эти методы социальной инженерии оказались весьма успешными».

PamStealer использует продвинутые методы уклонения

Вредонос использует JavaScript для автоматизации и нативные macOS API для загрузки полезной нагрузки второго этапа, не полагаясь на стандартные утилиты командной строки, такие как curl или zsh, что сокращает количество процессов, которые могут отслеживать средства безопасности.

Согласно отчету, второй этап представляет собой Rust-based бинарный файл, предназначенный для Mac на Apple Silicon, маскирующийся под Finder или Software Update. «Вместо хранения конфигурации в открытом виде, дроппер извлекает ключ из отпечатка хоста — включая архитектуру CPU, локаль, раскладку клавиатуры и часовой пояс — и использует его для разблокировки зашифрованной конфигурации с проверкой целостности, содержащей URL полезной нагрузки и путь установки», — сообщила компания.

Если вредонос не может подтвердить, что работает на целевой системе, он тихо завершает свою работу.

Возможности вредоноса включают кражу учетных данных и сохранение присутствия

После установки вредонос может красть учетные данные браузера и данные Keychain, отслеживать содержимое буфера обмена, обеспечивать постоянство и отправлять украденную информацию на удаленный командный сервер с использованием зашифрованной связи.

Вредонос пытается расширить свой доступ, отображая поддельное предупреждение Finder с запросом предоставить полный доступ к диску. Запрос может появиться через 40 минут после заражения, что снижает вероятность того, что пользователи свяжут его с исходной загрузкой. В случае одобрения вредонос может получить доступ к защищенным данным, включая Mail, Messages и резервные копии Time Machine.

По словам Брэдли, Jamf не обнаружила никаких свидетельств того, что PamStealer активен в дикой природе. Компания уведомила Apple о своих находках. Apple оперативно не ответила на запрос Decrypt о комментарии.

Jamf выявляет смежную кампанию на платформе X

Jamf сообщила, что наблюдает распространение аналогичных методов социальной инженерии на другие платформы. В посте на X на прошлой неделе компания заявила, что расследует спонсируемую рекламу на X, продвигающую DynamicLake, которая перенаправляла пользователей на dynamicmacisland[.]com, где им предлагалось открыть Terminal и выполнить команду установки.

«Реклама была размещена через верифицированную учетную запись X, что добавляет дополнительный уровень доверия к социальной инженерии», — написала компания. «Анализ полезной нагрузки выявил недавний вариант Atomic (MacSync) Stealer».

Обнаружение отражает более широкую тенденцию вредоносного ПО

Эти выводы сделаны на фоне того, что злоумышленники все чаще маскируют вредоносное ПО под легитимное программное обеспечение и злоупотребляют доверенными платформами разработчиков и рекламными каналами. Недавние кампании включали поддельный репозиторий OpenAI, который попал в топ трендовых проектов Hugging Face перед распространением Rust-based инфостилера, вредоносное расширение Visual Studio Code, которое, по данным GitHub, раскрыло около 3 800 внутренних репозиториев, и кампанию по атаке на цепочку поставок ПО Shai-Hulud, нацеленную на инструменты разработки, используемые AI-компаниями, включая OpenAI и Mistral AI.

Часто задаваемые вопросы

Что такое вредонос PamStealer и как он нацелен на пользователей Mac?

PamStealer — это Rust-based macOS-инфостилер, выявленный Jamf Threat Labs, маскирующийся под open-source менеджер буфера обмена Maccy. Вредонос распространяется через поддельный сайт, доставляющий вредоносный файл AppleScript. Он проверяет пароли входа жертвы через модули подключаемой аутентификации macOS (PAM) перед кражей учетных данных браузера, данных Keychain и отслеживанием содержимого буфера обмена.

Как PamStealer избегает обнаружения средствами безопасности?

Согласно Jamf Threat Labs, PamStealer использует JavaScript для автоматизации и нативные macOS API для загрузки полезной нагрузки второго этапа, не полагаясь на стандартные утилиты командной строки, такие как curl или zsh, что сокращает количество процессов, которые могут отслеживать средства безопасности. Вредонос также извлекает ключ из отпечатка хоста для разблокировки зашифрованной конфигурации и завершает работу, если не может подтвердить, что работает на целевой системе.

Наблюдала ли Jamf использование PamStealer в активных атаках?

По словам директора Jamf Threat Labs Джэрона Брэдли, Jamf не обнаружила никаких свидетельств того, что PamStealer активен в дикой природе. Компания уведомила Apple о своих находках, но Apple оперативно не ответила на запрос Decrypt о комментарии.

Дисклеймер: Информация на этой странице может быть получена из источников третьих сторон и предоставляется только для ознакомления. Она не отражает взгляды или мнения Gate и не является финансовой, инвестиционной или юридической рекомендацией. Торговля виртуальными активами связана с высоким риском. Пожалуйста, не основывайте свои решения исключительно на данных этой страницы. Подробнее смотрите в Дисклеймере.
комментарий
0/400
Нет комментариев