PamStealer: новый вредонос для macOS использует хитрую маскировку и вредоносный AppleScript

PamStealer: новый вредонос для macOS использует хитрую маскировку и вредоносный AppleScript

Исследователи из Jamf обнаружили новый вредонос macOS под названием PamStealer, который отличается хитрым сочетанием техник маскировки и кражи учётных данных. Вредонос поставляется в два этапа: сначала распространяется как образ диска, притворяясь менеджером буфера обмена Maccy. Первый этап, это AppleScript с встроенным JavaScript для Automation (JXA), который загружает второй этап, написанный на Rust. Во время установки пользователю предлагается нажать Command-R, что выполняет вредоносный код и обходит защиту com.apple.quarantine.

Ключевой особенностью PamStealer является использование интерфейса Pluggable Authentication Modules (PAM), встроенного в macOS. Вредонос проверяет пароль пользователя локально через PAM, а затем отправляет его на контролируемый атакующим сервер. Второй этап создан так, чтобы оставаться незамеченным: он маскируется под встроенные компоненты macOS (Finder.app или Software Update.app), шифрует трафик управления и контроля, а также задерживает запросы на Full Disk Access на до 40 минут, чтобы его действия не совпадали с запуском приложения. Это создаёт более «тихую» цепочку выполнения, чем типичные malware для macOS, с использованием встроенных API вместо shell-команд.

Ключевые факты

  • PamStealer распространяется как образ диска, притворяясь менеджером буфера обмена Maccy
  • Двухэтапная доставка: AppleScript с JXA на первом этапе, Rust-based infostealer на втором
  • Использует интерфейс PAM (Pluggable Authentication Modules) для локальной проверки и кражи пароля
  • Применяет множество техник уклонения: маскировка под встроенные компоненты, обход quarantine, задержка запросов, шифрование C&C
  • Выполняет цепочку команд через встроенные API вместо shell, что снижает возможность обнаружения традиционными методами

Почему это важно

PamStealer представляет новую эволюцию malware для macOS, которые становятся всё более изощрёнными. Использование встроенных компонентов системы, JXA и PAM делает его менее заметным для традиционных решений безопасности. Тот факт, что вредонос может скрывать свою активность на протяжении десятков минут и обходить встроенные защиты macOS, показывает, что пользователи и организации не могут полагаться только на стандартные предупреждения системы.

Кому это важно

В первую очередь это касается пользователей macOS, которые устанавливают приложения, особенно те, кто загружает их через неофициальные каналы или доверчиво кликает на Command-R при установке. Также важно для организаций, использующих Mac в корпоративной среде, где утечка учётных данных может привести к компрометации других систем и аккаунтов сотрудников.

Как это применить

Пользователям следует проверять источники скачивания приложений и быть осторожными с предложениями нажимать горячие клавиши во время установки. Организациям рекомендуется развёртывать специализированные решения для мониторинга macOS (например, EDR), которые могут обнаруживать подозрительное использование JXA, PAM и контроля процессов. Регулярное обновление macOS и приложений также помогает закрывать известные уязвимости.

Можно ли доверять

Исследование проведено компанией Jamf, авторитетным разработчиком решений безопасности для macOS, которые имеют доступ к тестовым образцам вредоноса. Их анализ основан на детальной разборке кода и поведения. Информация заслуживает доверия, так как она подтверждается техническими деталями и идентификацией конкретных техник маскировки.

Риски и подводные камни

Основной риск, это социальная инженерия: пользователи, ожидающие установить обычный менеджер буфера обмена, могут не осознавать опасность нажатия Command-R. Кроме того, задержка в 40 минут перед запросом Full Disk Access может дать пользователю ложное ощущение безопасности. Второй риск, для организаций: даже установленные EDR решения могут не сразу обнаружить вредонос, если они не мониторят JXA и PAM в реальном времени.