Вкратце
- Jamf Threat Labs обнаружила нового информационного вора в macOS на базе Rust, выдающего себя за менеджера буфера обмена Maccy.
- Вредоносная программа проверяет пароли жертв через macOS PAM перед их кражей.
- Исследователи также обнаружили вредоносное ПО в стиле ClickFix, распространяемое через спонсируемую рекламу на X.
По данным компании по кибербезопасности Jamf Threat Labs, пользователи Mac, ищущие менеджер буфера обмена с открытым исходным кодом Maccy, становятся жертвами поддельной версии приложения, которая устанавливает новый информационный вор на основе Rust, получивший название PamStealer. В случае успеха вредоносная программа может украсть пароли пользователей и ключи криптокошельков.
В отчете, опубликованном в четверг Jamf Threat Labs, говорится, что кампания использует похожий веб-сайт для распространения образа диска, содержащего вредоносный файл AppleScript с именем Maccy.scpt. При открытии файла отображаются инструкции, предлагающие пользователям запустить его в редакторе сценариев Apple, скрывая вредоносный код дальше в документе.
«Мы отслеживаем это вредоносное ПО под названием PamStealer после одного из его основных действий: проверка пароля для входа в систему жертвы с помощью подключаемых модулей аутентификации macOS (PAM) перед его сбором», — пишет Jamf Threat Labs.
Далее вредоносная программа использует JavaScript для автоматизации и собственные API-интерфейсы macOS для загрузки полезной нагрузки второго этапа, не полагаясь на обычные утилиты оболочки, такие как Curl или Zsh, что сокращает количество процессов, которые могут наблюдать инструменты безопасности.
«Что касается многих воров, мы видели, как злоумышленники покупали рекламное пространство Google, чтобы заманить пользователей к вредоносному приложению. Недавно мы также наблюдали, как вредоносная реклама размещается на X», — сказал директор Jamf Threat Labs Джарон Брэдли. Расшифровать. «Эти методы социальной инженерии оказались весьма успешными».
Согласно отчету, второй этап представляет собой двоичный файл на основе Rust, разработанный для Apple Silicon Mac и маскирующийся под Finder или Software Update.
«Вместо того, чтобы хранить свою конфигурацию в открытом виде, дроппер извлекает ключ из отпечатка хоста, включая архитектуру процессора, языковой стандарт, раскладку клавиатуры и часовой пояс, и использует его для разблокировки зашифрованной, проверенной целостности конфигурации, содержащей URL-адрес полезной нагрузки и путь установки», — заявили в компании.
После установки вредоносное ПО может красть учетные данные браузера и данные связки ключей, отслеживать содержимое буфера обмена, обеспечивать постоянство и отправлять украденную информацию на удаленный сервер управления и контроля, используя зашифрованную связь. Если он не может убедиться, что он работает по назначению, он незаметно отключается.
Вредоносная программа также пытается расширить свой доступ, отображая фальшивое предупреждение Finder с просьбой предоставить пользователям полный доступ к диску. Запрос может появиться в течение 40 минут после заражения, что снижает вероятность того, что пользователи свяжут его с исходной загрузкой. В случае одобрения вредоносное ПО может получить доступ к защищенным данным, включая резервные копии почты, сообщений и Time Machine.
По словам Брэдли, Джамф не обнаружил никаких доказательств активности PamStealer в дикой природе; однако компания уведомила Apple о своих выводах. Apple не сразу ответила на запрос о комментариях Расшифровать.
Джамф заявил, что наблюдает распространение подобных методов социальной инженерии на другие платформы.
В Х пост На прошлой неделе компания заявила, что расследует спонсируемую рекламу на X, рекламирующую DynamicLake, которая перенаправляла пользователей на Dynamicmacisland.[.]com, где им было предложено открыть Терминал и выполнить команду установки.
«Реклама была доставлена через проверенную учетную запись X, что добавило еще один уровень доверия к социальной инженерии», — написали в компании. «Анализ полезной нагрузки выявил недавний вариант Atomic (MacSync) Stealer».
Результаты получены на фоне того, что злоумышленники все чаще маскируют вредоносное ПО под легальное программное обеспечение и злоупотребляют надежными платформами разработчиков и рекламными каналами. Недавние кампании включали в себя поддельный репозиторий OpenAI, который достиг вершины трендовых проектов Hugging Face перед распространением информационного кражи на основе Rust, вредоносное расширение Visual Studio Code, которое, по словам GitHub, выявило около 3800 внутренних репозиториев, а также кампанию Shai-Hulud по цепочке поставок программного обеспечения, нацеленную на инструменты разработки, используемые компаниями ИИ, включая OpenAI и Mistral AI.
