Istraživači su pronašli dosad neviđeni komad macOS malwarea koji kombinira niz pametnih metoda za infekciju Mac računala s prilagođenim kodom za krađu vjerodajnica. Malware se isporučuje u dva koraka. Prvi se distribuira u diskovnoj slici koja se pretvara u Maccy, menadžer međuspremnika za Mac. Kompajliran je kao AppleScript, a ističe se načinom na koji isporučuje drugi korak. Malware nosi naziv PamStealer jer infostealer napisan u Rustu koristi Pluggable Authentication Modules sučelje ugrađeno u macOS za provjeru lozinke korisnika prije nego što je pošalje na poslužitelj pod kontrolom napadača.
Tiha izvršna lanac
Korištenje diskovne slike i AppleScripta uobičajeno je u malwareu za Mac. Neobičnije je kako PamStealer kombinira ova dva elementa za postizanje stealtha. Kada se AppleScript dvostruko klikne, otvara se u macOS Script Editoru, gdje je zloćudna funkcionalnost duboko zakopana unutar datoteke. “Umjesto oslanjanja na shell naredbe poput curl ili zsh, AppleScript izvršava samostalni JavaScript za automatizaciju (JXA) downloader koji preuzima i priprema payload koristeći nativne Objective-C API-je,” napisali su istraživači iz Jamfa, sigurnosne tvrtke za macOS korisnike. “U kombinaciji s Rust-baziranim drugim korakom i radnim tokom za hvatanje lozinki koji lokalno provjerava vjerodajnice kroz PAM, rezultat je tiši izvršni lanac nego što obično promatramo u uobičajenim macOS kradljivcima.”
Kada korisnik, očekujući instalaciju pouzdanog menadžera međuspremnika, naiđe na diskovnu sliku, pozvan je da pritisne Command-R odmah nakon dvostrukog klika. Ova naredba izvršava zloćudni kod unutar AppleScripta izravno. Također omogućuje izvršenje da zaobiđe com.apple.quarantine, macOS atribut koji pruža upozorenja i ograničenja kada su izvršne datoteke preuzete s interneta.
Kao što je Jamf objasnio: PamStealer kombinira nedavno nastalu površinu isporuke s manje poznatim payloadom. Dok se klikabilni .scpt i Script Editor koriste kao mamci temelje na metodama koje već dobivaju na popularnosti u macOS prijetnjama, malware se izdvaja kroz samostalni JXA dropper, Rust-bazirani drugi korak i radni tok za hvatanje lozinki koji lokalno provjerava vjerodajnice kroz PAM prije nego što ih prikupi. Taj drugi korak ulaže značajne napore da ostane skriven, maskirajući se kao Finder, šifrirajući svoj promet za upravljanje i odgađajući zahtjeve poput zahtjeva za punim pristupom disku čak do četrdeset minuta kako bi se njihova aktivnost ne poklapala s pokretanjem. Zajedno, ovi obrasci ilustriraju kako se uobičajeni macOS kradljivci nastavljaju razvijati, usvajajući tiše izvršne lance i nativne implementacije koje smanjuju tradicionalne mogućnosti otkrivanja dok ostaju kompatibilne s standardnim macOS značajkama.
Prvi korak stavlja svoj payload unutar aplikacijske mape koja se pretvara u stvarne komponente ugrađene u macOS. Komponenta se mijenja od uzorka do uzorka malwarea. Finder.app pod com.apple.finder.core ili com.apple.finder.monitor, i Software Update.app pod com.apple.security.daemon, dva su primjera. U oba slučaja, rade u skrivenom načinu. Također prikazuju pravi Finder.icns kao svoju ikonu.



