El PamStealer recién descubierto no es un malware ordinario para macOS

Los investigadores han descubierto un malware para macOS nunca antes visto que combina un conjunto inteligente de habilidades para infectar Mac con un código oculto de robo de credenciales especialmente desarrollado.

El malware se entrega en dos etapas. El primero se distribuye en una imagen de disco disfrazada de maccyadministrador de portapapeles para Mac. Está compilado como AppleScript, lo que destaca por la forma en que se entrega la segunda etapa. El malware se llama PamStealer porque el ladrón de información escrito en Rust utiliza la interfaz del módulo de autenticación conectable integrada en macOS para validar la contraseña de inicio de sesión del objetivo antes de enviarla a un servidor controlado por el atacante.

Una cadena de ejecución más silenciosa

El uso de imágenes de disco y AppleScript es común en el malware para Mac. Lo que es más inusual es la forma en que PamStealer los combina para ganar sigilo. Cuando se hace doble clic en AppleScript, se abre en el Editor de secuencias de comandos de MacOS, donde la funcionalidad maliciosa está oculta en lo profundo del archivo.

“En lugar de depender de comandos de shell como curl o zsh, AppleScript ejecuta un descargador de JavaScript para automatización (JXA) independiente que recupera y administra cargas útiles utilizando API nativas de Objective-C”, dijeron investigadores de Jamf, una empresa de seguridad para usuarios de macOS. escribir. “Combinado con una segunda etapa basada en Rust y un flujo de trabajo de captura de contraseñas que valida las credenciales localmente a través de PAM, el resultado es una cadena de ejecución más silenciosa de lo que normalmente observamos en los ladrones de macOS”.

Cuando los usuarios que quieran instalar un administrador de portapapeles confiable encuentren la imagen del disco, se les pedirá que presionen Comando-R inmediatamente después de hacer doble clic en ella. Este comando ejecuta código malicioso directamente dentro de AppleScript. También permite que el ejecutable omita com.apple.quarantine, un atributo de macOS que proporciona advertencias y restricciones cuando un archivo ejecutable se ha descargado de Internet.

Como explica Jamf:

PamStealer combina plataformas de entrega emergentes con cargas útiles menos familiares. Si bien el cebo .scpt y el editor de scripts en el que se puede hacer clic se basan en técnicas ya adoptadas en el panorama de amenazas de macOS, el malware se diferencia a través de un cuentagotas JXA independiente, una segunda etapa basada en Rust y un flujo de trabajo de recolección de contraseñas que valida las credenciales localmente a través de PAM antes de recolectarlas. Esta segunda etapa hace todo lo posible para permanecer oculta, haciéndose pasar por Finder, cifrando su tráfico de comando y control y manteniendo comandos como las solicitudes de acceso total al disco durante cuarenta minutos para que su actividad no se alinee con el lanzamiento. En general, este comportamiento ilustra cómo los ladrones de productos de macOS continúan evolucionando, adoptando cadenas de ejecución más silenciosas e implementaciones nativas que reducen las posibilidades de detección tradicional sin dejar de ser compatibles con las funciones estándar de macOS.

La primera etapa coloca la carga útil en un paquete de aplicaciones que imita los componentes reales contenidos en macOS. Los componentes cambian de una muestra a otra de malware. Finder.app en com.apple.finder.core o com.apple.finder.monitor, y Software Update.app en com.apple.security.daemon, son dos ejemplos. En ambos casos operan en secreto. También cuentan con Finder.icns nativo de macOS como icono.



Source link