Command-R вместо кнопки «Установить». Как один хоткей запускает кражу пароля на Mac

leer en español

16751
Command-R вместо кнопки «Установить». Как один хоткей запускает кражу пароля на Mac

Фальшивое приложение ловко обходит преграды, поскольку использует исключительно штатные функции.

image

Вредоносные программы для macOS всё активнее используют штатные механизмы системы, и новый стилер PamStealer маскирует кражу пароля под установку менеджера буфера обмена Maccy.

Вредонос распространяется в образе диска и работает в два этапа. Внутри находится файл AppleScript, который после двойного щелчка открывается в редакторе сценариев macOS. Пользователю предлагают сразу нажать Command-R, якобы для запуска установки. Комбинация выполняет скрытый код прямо в редакторе, даже если файл сохраняет атрибут com.apple.quarantine, которым macOS помечает загрузки из интернета.

Первый модуль запускает встроенный загрузчик, написанный на JavaScript for Automation. Загрузчик не обращается к заметным системным командам вроде curl или zsh, а получает второй модуль через штатные интерфейсы macOS. Такой подход оставляет меньше отдельных процессов, по которым защитные средства могли бы распознать заражение.

Второй модуль написан на Rust и предназначен для компьютеров с процессорами Apple. Стилер прячется внутри поддельного приложения, которое выдаёт себя за Finder или Software Update, использует системную иконку и работает в фоне. Для чтения локальных баз данных вредонос использует встроенную в него библиотеку SQLite.

Затем PamStealer показывает окно, похожее на системный запрос разрешений, и просит пароль от учётной записи. Вредонос проверяет введённые данные через механизм PAM прямо на устройстве. При ошибке запрос появляется снова, а после правильного пароля программа сообщает, что приложение повреждено. Такое сообщение должно убедить жертву, что установка просто завершилась сбоем.

PamStealer также запрашивает полный доступ к диску, чтобы собрать больше данных, и обращается к публичным узлам Ethereum, хотя назначение этих соединений пока не установлено. Запрос дополнительных разрешений может появиться с задержкой до 40 минут, чтобы пользователь не связал его с запуском поддельного установщика.

Специалисты Jamf рассматривают PamStealer как пример нового поколения стилеров для macOS, которые реже запускают внешние команды и глубже используют штатные функции системы.