Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

PamStealer користи лажни веб-страници на Maccy и PAM проверки за кражба на лозинки за најава на Mac

Истражувачи од областа на сајбер-безбедноста открија нов крадец на информации за macOS наречен PamStealer, кој користи низа софистицирани техники за да зарази системи и да украде чувствителни податоци.

Крадецот, откриен од Jamf Threat Labs, се дистрибуира како компајлирана AppleScript (.scpt) датотека што се претставува како Maccy, легитимен open-source менаџер за клипборд. Името PamStealer го добил поради неговата способност локално да ја провери лозинката за најава на жртвата преку Pluggable Authentication Modules (PAM) на macOS пред да ја украде.

Малициозниот софтвер се испорачува во две фази:

  • Првата фаза е компајлирана AppleScript датотека сместена во диск-слика (disk image), чија задача е да преземе и подготви дополнителен малициозен товар.
  • Втората фаза е Rust-базиран инфостилер, способен да краде акредитиви, да собира податоци од прелистувачи, да воспостави постојан пристап (persistence) и да ги испрати украдените податоци до напаѓачите.

Почетниот начин на инфекција е преку лажна веб-страница „maccyapp[.]com“, која го имитира официјалниот сајт „maccy[.]app“. AppleScript датотеката „Maccy.scpt“ што се наоѓа во диск-сликата извршува вграден JavaScript for Automation (JXA) преземач, кој користи природни Objective-C API функции за да го преземе и инсталира инфостилерот.

Она што е особено интересно е што, кога датотеката ќе се отвори во Script Editor, на корисникот му се прикажуваат инструкции да ја изврши со кратенката ⌘ + R или со клик на копчето Run. Со тоа се активира малициозниот код кој е сокриен под голем број празни линии во датотеката.

„Особено е важно што ова функционира дури и кога датотеката сè уште го има атрибутот com.apple.quarantine, што ја прави оваа техника привлечна за напаѓачите бидејќи Apple постојано ги заострува безбедносните механизми Gatekeeper и Terminal,“ изјави безбедносниот истражувач Thijs Xhaflaire. „Во комбинација со Rust-базираната втора фаза и процесот за кражба на лозинки што локално ги проверува преку PAM, се добива многу потивок синџир на извршување отколку кај повеќето стандардни macOS инфостилери.“

AppleScript дроперот содржи функции што ја анализираат околината и продолжуваат со извршување само ако утврдат дека системот работи на Apple Silicon. За таа цел се генерира клуч врз основа на карактеристиките на системот, како што се архитектурата на процесорот, локалните поставки, распоредот на тастатурата и временската зона. Овој клуч се користи за дешифрирање на конфигурацијата што ја содржи адресата од која се презема малициозниот товар и патеката за неговата инсталација.

На Intel Mac компјутерите, клучот е различен и не може успешно да ја дешифрира конфигурацијата, поради што дроперот се прекинува.

Скриптата исто така избегнува извршување во sandbox или аналитички околини, како и на системи чија временска зона, локализација или распоред на тастатурата укажуваат на земји од Источна Европа, меѓу кои се Русија, Белорусија, Казахстан, Ерменија, Азербејџан, Киргистан, Молдавија, Таџикистан, Узбекистан, Туркменистан и Грузија.

Откако сите проверки ќе бидат успешно поминати, скриптата се поврзува со надворешен сервер и презема Mach-O бинарна датотека напишана во Rust, која се претставува како апликацијата Finder. Нејзината задача е да собира податоци од веб-прелистувачи, екстензии за криптовалутни паричници, iCloud Keychain и содржината на клипбордот. Собраните информации потоа се шифрираат и се испраќаат до инфраструктурата контролирана од напаѓачите („avenger-sync[.]live“) преку HTTP барање.

Освен што го наведува корисникот да му одобри целосен пристап до датотечниот систем, инфостилерот прикажува и автентичен прозорец за внесување лозинка. Внесената лозинка потоа локално се проверува преку PAM API. Доколку е неточна, корисникот повторно се бара да ја внесе лозинката, сè додека не биде внесена вистинската.

„Откако ќе се добие валидна лозинка, инфостилерот прикажува второ, лажно предупредување: ‘Maccy is damaged and can’t be opened. You should move it to the Trash.’ Тоа е речиси идентична копија на оригиналната порака од Gatekeeper,“ соопшти Jamf. „Ова служи само како мамка. Во моментот кога пораката се прикажува, малициозниот код веќе е извршен, лозинката е украдена и механизмот за постојан пристап е поставен, па корисникот само добива впечаток дека преземањето било неуспешно.“

Во Rust-бинарната датотека е вграден и мал arm64 Mach-O модул што се претставува како macOS System Settings и служи за воспоставување постојан пристап (persistence).

Поради ова, Alex Rodionov, развивачот на Maccy, додаде предупредување на официјалната веб-страница и GitHub складиштето:

„Внимавајте на лажни веб-страници што се претставуваат како Maccy. Злонамерни страници (како maccyapp[.]net и maccyapp[.]com) дистрибуираат малициозен софтвер маскиран како Maccy. maccy.app е единствената официјална веб-страница.“

Од Jamf заклучуваат:

„Овие техники покажуваат дека современите macOS инфостилери продолжуваат да се развиваат, користејќи потивки методи на извршување и природни системски механизми, со што ги намалуваат можностите за традиционално откривање, а истовремено остануваат целосно компатибилни со стандардните функции на macOS.“

Извори:

  • The Hacker News – PamStealer Uses Fake Maccy Sites and PAM Checks to Steal Mac Login Passwords The Hacker News