
Исследователи обнаружили ранее не встречавшееся вредоносное ПО для macOS, которое сочетает в себе хитрые методы для заражения компьютеров Mac скрытым кодом, разработанным специально для кражи учётных данных, пишет Ars Technica.
Вредоносная программа распространяется в два этапа. Первый этап распространяется в виде образа диска, замаскированного под Maccy, менеджер буфера обмена для Mac. Он скомпилирован как AppleScript, что примечательно тем, как она запускает второй этап. Вредоносное ПО называется PamStealer, потому что оно использует интерфейс Pluggable Authentication Modules (PAM), встроенный в macOS, для проверки пароля входа цели перед отправкой его на сервер, контролируемый злоумышленником.
вредоносных программ для Mac часто используют образ диска и AppleScript, а PamStealer их сочетает. При запуске AppleScript он открывается в редакторе скриптов macOS, где вредоносная функциональность скрыта глубоко внутри файла.
«Вместо того чтобы полагаться на команды оболочки, такие как curl или zsh, AppleScript выполняет самодостаточный загрузчик JavaScript for Automation (JXA), который извлекает и подготавливает полезную нагрузку с использованием нативных API Objective-C», — рассказали исследователи из компании по обеспечению безопасности пользователей macOS Jamf. «В сочетании со вторым этапом на основе Rust и рабочим процессом сбора паролей, который локально проверяет учётные данные через PAM, результатом является более тихая цепочка выполнения, чем мы обычно наблюдаем у рядовых инфостилеров для macOS».
Когда пользователь, ожидающий установки надёжного менеджера буфера обмена, сталкивается с образом диска, ему предлагается нажать Command-R сразу после двойного щелчка по нему. Эта команда запускает вредоносный код непосредственно в AppleScript. Кроме того, она позволяет обойти com.apple.quarantine — атрибут macOS, который выдаёт предупреждения и накладывает ограничения при загрузке исполняемых файлов из интернета.
PamStealer показывает окно ввода пароля, имитирующее запрос на авторизацию системы. Его текст гласит: «Maccy хочет внести изменения. Введите свой пароль, чтобы разрешить». После того как пользователь вводит пароль, вредоносное ПО проверяет его локально через PAM API.
«Для проверки пароля не используются вызовы dscl, security, osascript или какие-либо порождённые процессы, как это делают многие распространённые программы для кражи паролей в macOS. В результате получается более тихая процедура, которая сохраняет только подтверждённый пароль», — пояснили в Jamf.
Если проверка не пройдена, PamStealer снова выводит запрос на экран, пока не получит правильный ответ. Как только жертва вводит правильный пароль, PamStealer выводит сообщение о том, что файл повреждён и не может быть установлен. Это сделано для того, чтобы усыпить бдительность жертвы.
Вредоносная программа использует различные тактики, чтобы собрать как можно больше информации, например запрос на предоставление полного доступа к диску для поддельного приложения Maccy. Кроме того, программа содержит код для доступа к аккаунтам Ethereum.
«Стандартные программы-вымогатели для macOS продолжают развиваться, внедряя более тихие цепочки выполнения и нативные реализации, которые сокращают возможности традиционного обнаружения, но при этом остаются совместимыми со стандартными функциями macOS», — отметили в Jamf, сообщает Ars Technica.
