Escrocherie extrem de periculoasă pentru aceste sisteme de operare: „Este un lanț de execuție mai silențos”
O echipă de experți în securitate cibernetică și criminalitate cibernetică a avertizat asupra unui malware pentru sistemul de operare care rulează pe computerele Apple și combină diferite tehnici de atac pentru a infecta pe ascuns aceste dispozitive.
Utilizatorii macOS riscă să se confrunte cu acest malware dezvoltat special, care are capacitatea de a fura acreditări și alte informații personale de la victime și este distribuit în două faze.
Acest malware se dovedește deosebit de dificil de detectat deoarece are un mod diferit de execuție, adoptând „lanțuri de execuție mai silențioase și implementări native care reduc oportunitățile tradiționale de detectare”.
Escrocherie extrem de periculoasă pentru aceste sisteme de operare: „Este un lanț de execuție mai silențos”
Prima dintre aceste faze prezintă o pictogramă frauduloasă a lui Maccy, care este un manager de clipboard pentru Mac și este compilat ca AppleScript , limbajul de programare integrat în aceste computere.
Prin urmare, cercetătorii de la divizia Threat Labs a Jamf au indicat că a doua fază constă în furtul de informații de la Mach-O pentru arm64 (Apple Silicon) bazat pe limbajul de programare Rust.
În acest fel, PamStealer folosește interfața Pluggable Authentication Modules , care acționează ca un strat intermediar între aplicații și metodele de validare, pentru a fura informații și acreditări ale utilizatorilor.
Astfel, atunci când utilizatorul dorește să se conecteze la sesiunea sa, ignorând complet atacatorul, sistemul trimite numele de utilizator sau aliasul și parola către un server controlat de atacatori, care continuă să lucreze pe ascuns.
Site-ul web despre tehnologie menționat anterior a indicat că utilizarea imaginilor și a AppleScript este foarte frecventă pentru lansarea campaniilor de malware pe computerele Apple, dar că modul în care PamStealer combină tehnicile de execuție este ceva mai inovator.
Operațiune ascunsă și tehnici inovatoare de furt
„În loc să se bazeze pe comenzi shell precum curl sau zsh, AppleScript rulează un program de descărcare independent JavaScript for Automation (JXA) care preia și pregătește payload-ul folosind API-uri Objective-C native ”, au explicat cercetătorii firmei de securitate cibernetică.
Aceștia au explicat că „combinat cu o a doua etapă bazată pe Rust și un flux de lucru pentru captarea parolei care validează acreditările local prin PAM, rezultatul este un lanț de execuție mai silențios decât ceea ce vedem de obicei în programele comune de furt macOS”.
În plus, experții au sugerat că infractorii cibernetici scapă nepedepsiți datorită expertizei lor, deoarece odată ce victima și-a validat acreditările în API, dacă acestea sunt valide, primește un mesaj aparent legitim de la PamStealer care indică faptul că fișierul pe care dorește să îl acceseze este corupt.
În cele din urmă, Jamf a dorit să sublinieze că acest software rău intenționat folosește diferite tehnici pentru a avea o acoperire mai mare în furtul de informații, deoarece poate chiar solicita victimei să acorde acces deplin la unitatea sa de stocare presupusului utilizator legitim Maccy, scrie presa de specialitate.