2 часа назад
Свежий вредоносный исходник PamStealer для macOS использует хитрые методы взлома, чтобы оставаться незаметным


Исследователи обнаружили ранее не встречавшееся вредоносное ПО для macOS, которое сочетает в себе хитрые методы для заражения компьютеров Mac скрытым кодом, разработанным специально для кражи учётных данных, пишет Ars Technica.
Вредоносная приложение распространяется в два этапа. Первый этап распространяется в виде образа диска, замаскированного под Maccy, менеджер буфера обмена для Mac. Он скомпилирован как AppleScript, что примечательно тем, как она запускает следующий этап. Вредоносное ПО называется PamStealer, потому что оно использует интерфейс Pluggable Authentication Modules (PAM), встроенный в macOS, для проверки пароля входа цели перед отправкой его на сервер, контролируемый злоумышленником.
вредоносных программ для Mac часто используют образ диска и AppleScript, а PamStealer их сочетает. При запуске AppleScript он открывается в редакторе скриптов macOS, где вредоносная функциональность скрыта глубоко внутри файла.
«Вместо того чтобы полагаться на команды оболочки, такие как curl или zsh, AppleScript выполняет самодостаточный загрузчик JavaScript for Automation (JXA), который извлекает и подготавливает полезную нагрузку с использованием нативных программный интерфейс Objective-C», — рассказали исследователи из компании по обеспечению безопасности пользователей macOS Jamf. «В сочетании со вторым этапом на основе Rust и рабочим процессом сбора паролей, который локально проверяет учётные данные через PAM, результатом является более тихая цепочка выполнения, чем мы обычно наблюдаем у рядовых инфостилеров для macOS».
Когда пользователь, ожидающий установки надёжного менеджера буфера обмена, сталкивается с образом диска, ему предлагается нажать Command-R сразу после двойного щелчка по нему. Эта команда запускает вредоносный код непосредственно в AppleScript. Кроме того, она позволяет обойти com.apple.quarantine — атрибут macOS, который выдаёт предупреждения и накладывает ограничения при загрузке исполняемых файлов из интернета.
PamStealer демонстрирует окно ввода пароля, имитирующее запрос на авторизацию системы. Его текст гласит: «Maccy хочет внести изменения. Введите свой пароль, чтобы разрешить». После того как потребитель вводит пароль, вредоносное ПО проверяет его локально через PAM программный оболочку.
«Для проверки пароля не используются вызовы dscl, security, osascript или какие-либо порождённые процессы, как это делают многие распространённые программы для кражи паролей в macOS. В итоге получается более тихая процесс, которая сохраняет только подтверждённый пароль», — пояснили в Jamf.
Если тест не пройдена, PamStealer снова выводит запрос на экран, пока не получит правильный ответ. Как только жертва вводит правильный пароль, PamStealer выводит сообщение о том, что файл повреждён и не может быть установлен. Это сделано для того, чтобы усыпить бдительность жертвы.
Вредоносная программа использует различные тактики, чтобы собрать как можно больше информации, например запрос на предоставление полного доступа к диску для поддельного приложения Maccy. Кроме того, программа содержит исходник для доступа к аккаунтам Ethereum.
«Стандартные программы-вымогатели для macOS продолжают развиваться, внедряя более тихие цепочки выполнения и нативные реализации, которые сокращают возможности традиционного обнаружения, но при этом остаются совместимыми со стандартными функциями macOS», — отметили в Jamf, сообщает Ars Technica.
Читают сейчас
2 часа назад
Pangram: четверть всех лонгридов в соцсетях пишут нейросети. LinkedIn – главная свалка ИИ-текстов
Такое исследование опубликовала платформа Pangram, они специализируются на детекции синтетического контента. Мы уже ощущали интуитивно, но теперь есть подтверждение: социальные сети стремительно запол

4 часа назад
GPT-5.6 Sol в режиме Ultra случайно стёрла все файлы пользователя на Mac, а потом сама призналась в ошибке
ИИ-инвестор и предприниматель Мэтт Шумер рассказал, что нейросеть OpenAI GPT-5.6 Sol в режиме Ultra с полным доступом к системе случайно стёрла все файлы его рабочем Mac, а потом ИИ признался в ошибке

7 часов назад
AM4 живее всех живых: AMD тихо выпустила 8-ядерный Ryzen 7 4700LE на базе Zen 2
Сокет AM4, представленный еще в 2016 году, продолжает бить все рекорды долговечности. AMD в очередной раз решила задействовать свои кремниевые запасы прошлых лет и без лишнего шума добавила в каталог

7 часов назад
Apple подаёт в суд на OpenAI за кражу коммерческой тайны
Apple подала иск в федеральный суд Северной Калифорнии против OpenAI, обвинив компанию в систематической краже коммерческой тайны для ускорения разработки собственного потребительского «железа». В иск

8 часов назад
Нью-Йорк станет первым городом в США, запретившим обманные методы оформления подписки
Власти города Нью-Йорк одобрили правило, запрещающее компаниям применять обманные методы оформления подписок, чтобы заставить клиентов платить за абонементы в спортзалы, стриминговые сервисы и другие