Subota, 11 srpnja, 2026
23.8 C
London

Otkriven novi macOS malware PamStealer

Istraživači su pronašli dosad neviđeni komad macOS malwarea koji kombinira niz pametnih metoda za infekciju Mac računala s prilagođenim kodom za krađu vjerodajnica. Malware se isporučuje u dva koraka. Prvi se distribuira u diskovnoj slici koja se pretvara u Maccy, menadžer međuspremnika za Mac. Kompajliran je kao AppleScript, a ističe se načinom na koji isporučuje drugi korak. Malware nosi naziv PamStealer jer infostealer napisan u Rustu koristi Pluggable Authentication Modules sučelje ugrađeno u macOS za provjeru lozinke korisnika prije nego što je pošalje na poslužitelj pod kontrolom napadača.

Tiha izvršna lanac

Korištenje diskovne slike i AppleScripta uobičajeno je u malwareu za Mac. Neobičnije je kako PamStealer kombinira ova dva elementa za postizanje stealtha. Kada se AppleScript dvostruko klikne, otvara se u macOS Script Editoru, gdje je zloćudna funkcionalnost duboko zakopana unutar datoteke. “Umjesto oslanjanja na shell naredbe poput curl ili zsh, AppleScript izvršava samostalni JavaScript za automatizaciju (JXA) downloader koji preuzima i priprema payload koristeći nativne Objective-C API-je,” napisali su istraživači iz Jamfa, sigurnosne tvrtke za macOS korisnike. “U kombinaciji s Rust-baziranim drugim korakom i radnim tokom za hvatanje lozinki koji lokalno provjerava vjerodajnice kroz PAM, rezultat je tiši izvršni lanac nego što obično promatramo u uobičajenim macOS kradljivcima.”

Kada korisnik, očekujući instalaciju pouzdanog menadžera međuspremnika, naiđe na diskovnu sliku, pozvan je da pritisne Command-R odmah nakon dvostrukog klika. Ova naredba izvršava zloćudni kod unutar AppleScripta izravno. Također omogućuje izvršenje da zaobiđe com.apple.quarantine, macOS atribut koji pruža upozorenja i ograničenja kada su izvršne datoteke preuzete s interneta.

Kao što je Jamf objasnio: PamStealer kombinira nedavno nastalu površinu isporuke s manje poznatim payloadom. Dok se klikabilni .scpt i Script Editor koriste kao mamci temelje na metodama koje već dobivaju na popularnosti u macOS prijetnjama, malware se izdvaja kroz samostalni JXA dropper, Rust-bazirani drugi korak i radni tok za hvatanje lozinki koji lokalno provjerava vjerodajnice kroz PAM prije nego što ih prikupi. Taj drugi korak ulaže značajne napore da ostane skriven, maskirajući se kao Finder, šifrirajući svoj promet za upravljanje i odgađajući zahtjeve poput zahtjeva za punim pristupom disku čak do četrdeset minuta kako bi se njihova aktivnost ne poklapala s pokretanjem. Zajedno, ovi obrasci ilustriraju kako se uobičajeni macOS kradljivci nastavljaju razvijati, usvajajući tiše izvršne lance i nativne implementacije koje smanjuju tradicionalne mogućnosti otkrivanja dok ostaju kompatibilne s standardnim macOS značajkama.

Prvi korak stavlja svoj payload unutar aplikacijske mape koja se pretvara u stvarne komponente ugrađene u macOS. Komponenta se mijenja od uzorka do uzorka malwarea. Finder.app pod com.apple.finder.core ili com.apple.finder.monitor, i Software Update.app pod com.apple.security.daemon, dva su primjera. U oba slučaja, rade u skrivenom načinu. Također prikazuju pravi Finder.icns kao svoju ikonu.

Hot this week

Meta ukida spornu značajku za AI izmjenu slika

Meta je ukinula spornu značajku koja je korisnicima omogućila...

Apple tuži OpenAI zbog krađe poslovnih tajni

Apple je u petak podnio tužbu protiv OpenAI zbog...

Rast open source AI-a u svijetu

Prema Clem Delangueu, CEO-u Hugging Face, open source umjetna...

SK Hynix ostvario rekordnu IPO na Wall Streetu

SK Hynix, južnokorejski gigant za memorijske čipove, objavio je...

Rast open source AI-a prema Hugging Face-u

Prema riječima izvršnog direktora Hugging Face-a, Clem Delangue, open...

Topics

Meta ukida spornu značajku za AI izmjenu slika

Meta je ukinula spornu značajku koja je korisnicima omogućila...

Apple tuži OpenAI zbog krađe poslovnih tajni

Apple je u petak podnio tužbu protiv OpenAI zbog...

Rast open source AI-a u svijetu

Prema Clem Delangueu, CEO-u Hugging Face, open source umjetna...

SK Hynix ostvario rekordnu IPO na Wall Streetu

SK Hynix, južnokorejski gigant za memorijske čipove, objavio je...

Rast open source AI-a prema Hugging Face-u

Prema riječima izvršnog direktora Hugging Face-a, Clem Delangue, open...

Jensen Huang o tokenima i radnoj snazi

Jensen Huang ima test za procjenu isplativosti inženjera, a...

Microsoft i OpenAI nastavljaju suradnju

U kratkom pregledu, Bloomberg je ranije ove tjedna izvijestio...

Fidji Simo napušta OpenAI nakon zdravstvenih poteškoća

Fidji Simo, druga osoba po važnosti u OpenAI-u, odlazi...
spot_img

Related Articles

Popular Categories

spot_imgspot_img