Os pesquisadores descobriram um malware macOS nunca antes visto que combina uma série de técnicas inteligentes para infectar Macs por meio de código de roubo de credenciais furtivo e personalizado.
O malware se espalha em dois estágios. O primeiro foi distribuído em uma imagem de disco disfarçada de Maccy, o gerenciador da área de transferência do Mac. Ele é compilado para AppleScript e se destaca pela forma como fornece o segundo estágio. O malware foi denominado PamStealer porque o programa de roubo de informações escrito em Rust usa a interface do módulo de autenticação conectável integrada do macOS para verificar a senha de login do alvo antes de transmiti-la a um servidor controlado pelo invasor.
Cadeia de execução mais silenciosa
Imagens de disco e AppleScript são frequentemente usados em malware para Mac. Ainda mais incomum é a maneira como PamStealer os combina para obter o efeito furtivo. Quando você clica duas vezes em um AppleScript, ele é aberto no macOS Script Editor com a funcionalidade maliciosa enterrada nas profundezas do arquivo.
“O AppleScript não depende de comandos shell como curl ou zsh, mas em vez disso executa um downloader autônomo de JavaScript automatizado (JXA) que usa APIs Objective-C nativas para recuperar e preparar a carga útil”, escreveram pesquisadores da empresa de segurança de usuários macOS Jamf. “Combinado com um segundo estágio baseado em Rust e um fluxo de trabalho de extração de senha que valida credenciais localmente via PAM, o resultado é uma cadeia de execução muito mais silenciosa do que normalmente observamos em ladrões de macOS comuns.”
Quando os usuários que desejam instalar um gerenciador de área de transferência confiável encontram uma imagem de disco, eles são solicitados a pressionar Command-R imediatamente após clicar duas vezes na imagem. Este comando executa código malicioso diretamente no AppleScript. Ele também permite que a execução ignore com.apple.quarantine, uma propriedade do macOS que fornece avisos e restrições ao baixar executáveis da Internet.
Como explica Jamf:
PamStealer combina superfícies de entrega recentemente surgidas com cargas menos familiares. Embora o .scpt clicável e o editor de script atraiam a criação de uma estratégia já adotada no cenário de ameaças do macOS, o malware se diferencia com um conta-gotas JXA independente, um segundo estágio baseado em Rust e um fluxo de trabalho de captura de senha que valida credenciais localmente via PAM antes de coletá-las. O segundo estágio fez um grande esforço para permanecer oculto, disfarçando-se de Finder, criptografando seu comando e controle de tráfego e bloqueando prompts como solicitações de acesso total ao disco por até quarenta minutos, para que sua atividade fosse incompatível com o lançamento. Juntos, esses comportamentos ilustram como os ladrões de commodities do macOS continuam a evoluir, adotando cadeias de execução mais silenciosas e implementações nativas, reduzindo as oportunidades tradicionais de detecção e mantendo a compatibilidade com a funcionalidade padrão do macOS.
O primeiro estágio coloca sua carga no pacote de aplicativos, simulando componentes reais integrados ao macOS. Este componente varia de amostra de malware para amostra de malware. Finder.app em com.apple.finder.core ou com.apple.finder.monitor e Software Update.app em com.apple.security.daemon são dois exemplos. Em ambos os casos, eles permanecem ocultos. Eles também exibem o Finder.icns genuíno para macOS como ícone.



