PamStealer атакует macOS через поддельный Maccy

Специалисты Jamf Threat Labs раскрыли детали нового сложного macOS-стиллера, получившего имя PamStealer. Вредоносная программа маскируется под легитимный менеджер буфера обмена Maccy и использует двухэтапную атаку для скрытого сбора конфиденциальных данных. Ключевая особенность PamStealer — прямая проверка учётных записей через Pluggable Authentication Modules (PAM) macOS, что позволяет перехватывать пароли, не создавая лишних процессов и минимизируя риск обнаружения.

Механизм доставки и обход защиты

Первоначальная доставка реализована через скомпилированный AppleScript-файл Maccy.scpt, который распространяется в образе диска (DMG) и имитирует подлинное приложение Maccy. Этот скрипт выступает в роли дроппера: он запускает самодостаточный загрузчик, написанный на JavaScript for Automation (JXA). Загрузчик использует нативные API macOS для получения основной полезной нагрузки, написанной на Rust, не прибегая к типичным утилитам командной строки — это значительно снижает вероятность обнаружения.

Дроппер оснащён сложными техниками противодействия анализу:

  • проверки окружения и эвристики анти-песочницы;
  • региональные исключения, чтобы избежать выполнения в нежелательных локациях;
  • дополнительная ad-hoc подпись пакета для усложнения статического анализа.

Перед запуском дроппер вычисляет ключ на основе атрибутов хоста и расшифровывает конфигурацию, содержащую URL второго этапа. Сама вредоносная нагрузка маскируется внутри пакета, имитирующего подлинные компоненты macOS, и активируется в фоновом режиме.

Второй этап: бесшумная кража данных через PAM

Пейлоад второго этапа представляет собой Mach-O-файл, написанный на Rust. Он реализует обширный набор возможностей для сбора информации:

  • кража содержимого буфера обмена с помощью утилиты pbpaste;
  • сбор учётных данных через поддельный диалог ввода пароля, стилизованный под системный запрос macOS;
  • прямая аутентификация через Pluggable Authentication Modules (PAM) — легитимный API операционной системы, что исключает запуск сторонних процессов и обеспечивает высокую скрытность.

Используя PAM, PamStealer проверяет перехваченные пароли без необходимости порождать дополнительные задания или обращаться к подозрительным утилитам, что делает его присутствие практически незаметным для традиционных средств защиты конечных точек.

Закрепление и социальная инженерия

Для сохранения устойчивости в системе вредонос использует несколько методов закрепления:

  • создание объектов входа через современные и устаревшие API macOS;
  • добавление в список элементов, запускаемых при входе пользователя, различными способами.

Кроме того, PamStealer прибегает к тактике социальной инженерии, чтобы получить расширенные привилегии. Он показывает поддельные системные предупреждения, которые ложно убеждают пользователя в необходимости предоставить полный доступ к диску. Таким образом злоумышленники могут расширить поверхность атаки и добраться до файлов, обычно защищённых функцией Transparency, Consent, and Control (TCC).

Коммуникации с C2 и интерес к криптовалютам

Связь с командным сервером (command and control, C2) осуществляется через исходящие HTTP-запросы. Трафик упаковывается в JSON-обёртку и шифруется алгоритмом ChaCha20-Poly1305, что добавляет ещё один уровень защиты при перехвате. Среди конфигурационных данных, которые PamStealer получает от управляющего сервера, исследователи обнаружили публичные конечные точки Ethereum JSON-RPC. Это указывает на потенциальный интерес атакующих к данным криптовалютных кошельков и транзакций, что делает угрозу особенно актуальной для пользователей, работающих с цифровыми активами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: