PamStealer Mimic: Αθόρυβη Συλλογή Δεδομένων από Clipboard


Το PamStealer έχει αναδειχθεί ως ένας ανερχόμενος κίνδυνος στον κόσμο του macOS, κατακτώντας τα φώτα της δημοσιότητας καθώς μεταμφιέζεται σε έναν δημοφιλή διαχειριστή προχείρου, τον “Maccy”. Πίσω από αυτήν την φαινομενικά ακίνδυνη εφαρμογή κρύβεται ένα κακόβουλο λογισμικό που έχει σχεδιαστεί για να συλλέγει κρυφά ευαίσθητα δεδομένα χρηστών.

Αναγνωρίστηκε από την ομάδα Jamf Threat Labs, το PamStealer εκμεταλλεύεται μια διπλή κρυφή αλυσίδα μόλυνσης, εμπνευσμένη από στρατηγικές που έχουν στόχο την αποφυγή ανίχνευσης, καθώς και την αλληλεπίδραση με τις συνήθεις λειτουργίες του macOS.

Η επίθεση ξεκινά με τη διανομή ενός κακόβουλου αρχείου εικόνας δίσκου ονόματι “Maccy.dmg”, το οποίο περιέχει ένα απόκρυφο AppleScript (.scpt) που προορίζεται για εκτέλεση από τον χρήστη.

Όταν το αρχείο αυτό ανοίξει, προσφέρει φαινομενικά αβλαβείς οδηγίες για να πατήσει ο χρήστης “Εκτέλεση”. Αυτό το απλό κόλπο κοινωνικής μηχανικής επιτρέπει την ενεργοποίηση του κακόβουλου κώδικα ενσωματωμένου στο σενάριο.

Το πρώτο στάδιο του επιθέσεως χρησιμοποιεί το AppleScript ως ένα ελαφρύ σταγονόμετρο. Αντί να χρησιμοποιεί κοινά εργαλεία όπως το curl ή το zsh, στρέφεται σε JavaScript for Automation (JXA), αξιοποιώντας εγγενή API του macOS όπως το NSURLSession.

από το PamStealer

Αυτή η προσέγγιση μειώνει την παρατηρησιμότητα της δραστηριότητας στο σύστημα και αποφεύγει την υποψία χρηστών. Μετά την εκτέλεση, το σενάριο κατεβάζει ένα δεύτερο ωφέλιμο φορτίο, το οποίο εγκαθίσταται ως νόμιμο στοιχείο του macOS όπως το Finder ή το Software Update.

Πριν από την εκτέλεσή του, το PamStealer ελέγχει το περιβάλλον, δημιουργώντας ένα μοναδικό κλειδί που βασίζεται σε χαρακτηριστικά του συστήματος, όπως η αρχιτεκτονική της CPU και οι τοπικές ρυθμίσεις.

Ψεύτικος διαχειριστής προχείρου Maccy – πηγή: Jamf Threat Labs

Εφόσον η συσκευή δεν πληροί τα κριτήρια, το κακόβουλο λογισμικό κλείνει σιωπηλά. Επιπλέον, αποφεύγει περιοχές όπως η ελέγχοντας γλωσσικές ρυθμίσεις.

Το δεύτερο στάδιο της μόλυνσης περιλαμβάνει ένα δυαδικό αρχείο Mach-O που έχει προγραμματιστεί σε Rust, κάτι που σπάνια συναντάται στο κακόβουλο λογισμικό για macOS. Αυτό το infostealer εκτελεί μια σειρά από κακόβουλες ενέργειες, μεταξύ των οποίων η κλοπή διαπιστευτηρίων και η παρακολούθηση του προχείρου.

Αξιοποιεί τις βάσεις δεδομένων του προγράμματος περιήγησης μέσω SQLite για την εξαγωγή αποθηκευμένων κωδικών πρόσβασης και cookies. Επιπλέον, χρησιμοποιεί δυναμικά τα πλαίσια ασφαλείας του macOS για πρόσβαση στα δεδομένα του Keychain.

Ψεύτικη ειδοποίηση του Maccy - πηγή: Jamf Threat Labs
Ψεύτικη ειδοποίηση για εξαπάτηση χρηστών – πηγή: Jamf Threat Labs

Ένα από τα πιο κρίσιμα σημεία του PamStealer είναι η μέθοδος συλλογής κωδικών πρόσβασης. Το κακόβουλο λογισμικό εμφανίζει ψεύτικο μήνυμα που ζητά από τον χρήστη να εισάγει τον κωδικό πρόσβασης.

Με αυτόν τον τρόπο, επικυρώνει τοπικά τον κωδικό, διασφαλίζοντας ότι συλλέγονται μόνο έγκυρα διαπιστευτήρια, μειώνοντας τις πιθανότητες ανίχνευσης.

Η παρακολούθηση του προχείρου γίνεται με τη βοήθεια του εργαλείου pbpaste, συλλέγοντας πληροφορίες σε ακανόνιστα χρονικά διαστήματα που μπορεί να περιλαμβάνουν ευαίσθητα δεδομένα, όπως κωδικούς ή διευθύνσεις κρυπτονομισμάτων.

Για να εξασφαλίσει τη διαρκή του παρουσία, το PamStealer εγγράφεται ως στοιχείο σύνδεσης και προσθέτει ένα βοηθητικό δυαδικό αρχείο που υποδύεται τη “Ρυθμίσεις συστήματος”.

Κλοπή δεδομένων από τον κλέφτη - πηγή: Jamf Threat Labs
Κλοπή δεδομένων από τον κλέφτη – πηγή: Jamf Threat Labs

Οι επιθέσεις συνεχίζονται με προσπάθειες εξαπάτησης χρηστών ώστε να παραχωρήσουν πλήρη πρόσβαση στο δίσκο μέσω ψευδών ειδοποιήσεων συστήματος.

Το κακόβουλο λογισμικό συνδέεται με έναν διακομιστή εντολών και ελέγχου (C&C), στέλνοντας κρυπτογραφημένα δεδομένα μέσω JSON αιτημάτων με χρήση του ChaCha20-Poly1305.

Η Jamf Threat Labs έχει εντοπίσει συνδέσεις με δημόσια Ethereum RPC endpoints, υπονοώντας ότι το λογισμικό μπορεί να χρησιμοποιεί υποδομές blockchain για ανθεκτική επικοινωνία.

Αρκετοί δείκτες συμβιβασμού (IOC) έχουν αναγνωριστεί, περιλαμβάνοντας ύποπτους τομείς όπως το api.sync-master[.] και avngr.network[.]app, καθώς και διαδρομές αρχείων που μιμούνται καταλόγους του macOS.

Το PamStealer αναδεικνύει την προοδευτική πολυπλοκότητα των κακόβουλων επιθέσεων στο macOS, συνδυάζοντας εγγενή API, Rust-based payloads και προχωρημένες τεχνικές κοινωνικής μηχανικής. Οι επιτιθέμενοι δημιουργούν λογισμικό που είναι δύσκολο να εντοπιστεί από τις παραδοσιακές μεθόδους ανίχνευσης.

Ενισχύστε το SOC σας επιταχύνοντας την ανίχνευση απειλών και τις γρήγορες έρευνες. -> Ενσωματώστε το ANY.RUN με το SOC σας Τώρα.

NewsRoom
NewsRoomhttps://technoid.gr
Η συντακτική ομάδα του Technoid.gr αποτελείται από έμπειρους δημοσιογράφους και λάτρεις της τεχνολογίας με πολυετή θητεία στον ειδικό τύπο. Με προσήλωση στην εγκυρότητα και την αντικειμενική ανάλυση, το NewsRoom μεταφέρει τον παλμό των παγκόσμιων εξελίξεων, από τα τελευταία gadgets μέχρι τις επαναστατικές καινοτομίες που αλλάζουν τον κόσμο μας.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ