Το PamStealer έχει αναδειχθεί ως ένας ανερχόμενος κίνδυνος στον κόσμο του macOS, κατακτώντας τα φώτα της δημοσιότητας καθώς μεταμφιέζεται σε έναν δημοφιλή διαχειριστή προχείρου, τον “Maccy”. Πίσω από αυτήν την φαινομενικά ακίνδυνη εφαρμογή κρύβεται ένα κακόβουλο λογισμικό που έχει σχεδιαστεί για να συλλέγει κρυφά ευαίσθητα δεδομένα χρηστών.
Αναγνωρίστηκε από την ομάδα Jamf Threat Labs, το PamStealer εκμεταλλεύεται μια διπλή κρυφή αλυσίδα μόλυνσης, εμπνευσμένη από στρατηγικές που έχουν στόχο την αποφυγή ανίχνευσης, καθώς και την αλληλεπίδραση με τις συνήθεις λειτουργίες του macOS.
Η επίθεση ξεκινά με τη διανομή ενός κακόβουλου αρχείου εικόνας δίσκου ονόματι “Maccy.dmg”, το οποίο περιέχει ένα απόκρυφο AppleScript (.scpt) που προορίζεται για εκτέλεση από τον χρήστη.
Όταν το αρχείο αυτό ανοίξει, προσφέρει φαινομενικά αβλαβείς οδηγίες για να πατήσει ο χρήστης “Εκτέλεση”. Αυτό το απλό κόλπο κοινωνικής μηχανικής επιτρέπει την ενεργοποίηση του κακόβουλου κώδικα ενσωματωμένου στο σενάριο.
Το πρώτο στάδιο του επιθέσεως χρησιμοποιεί το AppleScript ως ένα ελαφρύ σταγονόμετρο. Αντί να χρησιμοποιεί κοινά εργαλεία όπως το curl ή το zsh, στρέφεται σε JavaScript for Automation (JXA), αξιοποιώντας εγγενή API του macOS όπως το NSURLSession.
Κλοπή Δεδομένων από το PamStealer
Αυτή η προσέγγιση μειώνει την παρατηρησιμότητα της δραστηριότητας στο σύστημα και αποφεύγει την υποψία χρηστών. Μετά την εκτέλεση, το σενάριο κατεβάζει ένα δεύτερο ωφέλιμο φορτίο, το οποίο εγκαθίσταται ως νόμιμο στοιχείο του macOS όπως το Finder ή το Software Update.
Πριν από την εκτέλεσή του, το PamStealer ελέγχει το περιβάλλον, δημιουργώντας ένα μοναδικό κλειδί που βασίζεται σε χαρακτηριστικά του συστήματος, όπως η αρχιτεκτονική της CPU και οι τοπικές ρυθμίσεις.
Εφόσον η συσκευή δεν πληροί τα κριτήρια, το κακόβουλο λογισμικό κλείνει σιωπηλά. Επιπλέον, αποφεύγει περιοχές όπως η Ρωσία ελέγχοντας γλωσσικές ρυθμίσεις.
Το δεύτερο στάδιο της μόλυνσης περιλαμβάνει ένα δυαδικό αρχείο Mach-O που έχει προγραμματιστεί σε Rust, κάτι που σπάνια συναντάται στο κακόβουλο λογισμικό για macOS. Αυτό το infostealer εκτελεί μια σειρά από κακόβουλες ενέργειες, μεταξύ των οποίων η κλοπή διαπιστευτηρίων και η παρακολούθηση του προχείρου.
Αξιοποιεί τις βάσεις δεδομένων του προγράμματος περιήγησης μέσω SQLite για την εξαγωγή αποθηκευμένων κωδικών πρόσβασης και cookies. Επιπλέον, χρησιμοποιεί δυναμικά τα πλαίσια ασφαλείας του macOS για πρόσβαση στα δεδομένα του Keychain.
.webp)
Ένα από τα πιο κρίσιμα σημεία του PamStealer είναι η μέθοδος συλλογής κωδικών πρόσβασης. Το κακόβουλο λογισμικό εμφανίζει ψεύτικο μήνυμα που ζητά από τον χρήστη να εισάγει τον κωδικό πρόσβασης.
Με αυτόν τον τρόπο, επικυρώνει τοπικά τον κωδικό, διασφαλίζοντας ότι συλλέγονται μόνο έγκυρα διαπιστευτήρια, μειώνοντας τις πιθανότητες ανίχνευσης.
Η παρακολούθηση του προχείρου γίνεται με τη βοήθεια του εργαλείου pbpaste, συλλέγοντας πληροφορίες σε ακανόνιστα χρονικά διαστήματα που μπορεί να περιλαμβάνουν ευαίσθητα δεδομένα, όπως κωδικούς ή διευθύνσεις κρυπτονομισμάτων.
Για να εξασφαλίσει τη διαρκή του παρουσία, το PamStealer εγγράφεται ως στοιχείο σύνδεσης και προσθέτει ένα βοηθητικό δυαδικό αρχείο που υποδύεται τη “Ρυθμίσεις συστήματος”.
.webp)
Οι επιθέσεις συνεχίζονται με προσπάθειες εξαπάτησης χρηστών ώστε να παραχωρήσουν πλήρη πρόσβαση στο δίσκο μέσω ψευδών ειδοποιήσεων συστήματος.
Το κακόβουλο λογισμικό συνδέεται με έναν διακομιστή εντολών και ελέγχου (C&C), στέλνοντας κρυπτογραφημένα δεδομένα μέσω JSON αιτημάτων με χρήση του ChaCha20-Poly1305.
Η Jamf Threat Labs έχει εντοπίσει συνδέσεις με δημόσια Ethereum RPC endpoints, υπονοώντας ότι το λογισμικό μπορεί να χρησιμοποιεί υποδομές blockchain για ανθεκτική επικοινωνία.
Αρκετοί δείκτες συμβιβασμού (IOC) έχουν αναγνωριστεί, περιλαμβάνοντας ύποπτους τομείς όπως το api.sync-master[.]online και avngr.network[.]app, καθώς και διαδρομές αρχείων που μιμούνται καταλόγους του macOS.
Το PamStealer αναδεικνύει την προοδευτική πολυπλοκότητα των κακόβουλων επιθέσεων στο macOS, συνδυάζοντας εγγενή API, Rust-based payloads και προχωρημένες τεχνικές κοινωνικής μηχανικής. Οι επιτιθέμενοι δημιουργούν λογισμικό που είναι δύσκολο να εντοπιστεί από τις παραδοσιακές μεθόδους ανίχνευσης.
Ενισχύστε το SOC σας επιταχύνοντας την ανίχνευση απειλών και τις γρήγορες έρευνες. -> Ενσωματώστε το ANY.RUN με το SOC σας Τώρα.

