PamStealer атакует macOS через поддельный Maccy
Специалисты Jamf Threat Labs раскрыли детали нового сложного macOS-стиллера, получившего имя PamStealer. Вредоносная программа маскируется под легитимный менеджер буфера обмена Maccy и использует двухэтапную атаку для скрытого сбора конфиденциальных данных. Ключевая особенность PamStealer — прямая проверка учётных записей через Pluggable Authentication Modules (PAM) macOS, что позволяет перехватывать пароли, не создавая лишних процессов и минимизируя риск обнаружения.
Механизм доставки и обход защиты
Первоначальная доставка реализована через скомпилированный AppleScript-файл Maccy.scpt, который распространяется в образе диска (DMG) и имитирует подлинное приложение Maccy. Этот скрипт выступает в роли дроппера: он запускает самодостаточный загрузчик, написанный на JavaScript for Automation (JXA). Загрузчик использует нативные API macOS для получения основной полезной нагрузки, написанной на Rust, не прибегая к типичным утилитам командной строки — это значительно снижает вероятность обнаружения.
Дроппер оснащён сложными техниками противодействия анализу:
- проверки окружения и эвристики анти-песочницы;
- региональные исключения, чтобы избежать выполнения в нежелательных локациях;
- дополнительная ad-hoc подпись пакета для усложнения статического анализа.
Перед запуском дроппер вычисляет ключ на основе атрибутов хоста и расшифровывает конфигурацию, содержащую URL второго этапа. Сама вредоносная нагрузка маскируется внутри пакета, имитирующего подлинные компоненты macOS, и активируется в фоновом режиме.
Второй этап: бесшумная кража данных через PAM
Пейлоад второго этапа представляет собой Mach-O-файл, написанный на Rust. Он реализует обширный набор возможностей для сбора информации:
- кража содержимого буфера обмена с помощью утилиты pbpaste;
- сбор учётных данных через поддельный диалог ввода пароля, стилизованный под системный запрос macOS;
- прямая аутентификация через Pluggable Authentication Modules (PAM) — легитимный API операционной системы, что исключает запуск сторонних процессов и обеспечивает высокую скрытность.
Используя PAM, PamStealer проверяет перехваченные пароли без необходимости порождать дополнительные задания или обращаться к подозрительным утилитам, что делает его присутствие практически незаметным для традиционных средств защиты конечных точек.
Закрепление и социальная инженерия
Для сохранения устойчивости в системе вредонос использует несколько методов закрепления:
- создание объектов входа через современные и устаревшие API macOS;
- добавление в список элементов, запускаемых при входе пользователя, различными способами.
Кроме того, PamStealer прибегает к тактике социальной инженерии, чтобы получить расширенные привилегии. Он показывает поддельные системные предупреждения, которые ложно убеждают пользователя в необходимости предоставить полный доступ к диску. Таким образом злоумышленники могут расширить поверхность атаки и добраться до файлов, обычно защищённых функцией Transparency, Consent, and Control (TCC).
Коммуникации с C2 и интерес к криптовалютам
Связь с командным сервером (command and control, C2) осуществляется через исходящие HTTP-запросы. Трафик упаковывается в JSON-обёртку и шифруется алгоритмом ChaCha20-Poly1305, что добавляет ещё один уровень защиты при перехвате. Среди конфигурационных данных, которые PamStealer получает от управляющего сервера, исследователи обнаружили публичные конечные точки Ethereum JSON-RPC. Это указывает на потенциальный интерес атакующих к данным криптовалютных кошельков и транзакций, что делает угрозу особенно актуальной для пользователей, работающих с цифровыми активами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



