Новости Command-R вместо кнопки «Установить». Как один хоткей запускает кражу пароля на Mac

NewsMaker

I'm just a script
Премиум
28,040
46
8 Ноя 2022
Фальшивое приложение ловко обходит преграды, поскольку использует исключительно штатные функции.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
eg8rr0hgehm7hm22l91bjn5ppjxf40sw.jpg

Вредоносные программы для macOS всё активнее используют штатные механизмы системы, и новый стилер PamStealer маскирует кражу пароля под установку менеджера буфера обмена Maccy.

Вредонос распространяется в образе диска и работает в два этапа. Внутри находится файл AppleScript , который после двойного щелчка открывается в редакторе сценариев macOS. Пользователю предлагают сразу нажать Command-R, якобы для запуска установки. Комбинация выполняет скрытый код прямо в редакторе, даже если файл сохраняет атрибут com.apple.quarantine, которым macOS помечает загрузки из интернета.

Первый модуль запускает встроенный загрузчик, написанный на JavaScript for Automation. Загрузчик не обращается к заметным системным командам вроде curl или zsh, а получает второй модуль через штатные интерфейсы macOS . Такой подход оставляет меньше отдельных процессов, по которым защитные средства могли бы распознать заражение.

Второй модуль написан на Rust и предназначен для компьютеров с процессорами Apple. Стилер прячется внутри поддельного приложения, которое выдаёт себя за Finder или Software Update, использует системную иконку и работает в фоне. Для чтения локальных баз данных вредонос использует встроенную в него библиотеку SQLite.

Затем PamStealer показывает окно, похожее на системный запрос разрешений, и просит пароль от учётной записи. Вредонос проверяет введённые данные через механизм PAM прямо на устройстве. При ошибке запрос появляется снова, а после правильного пароля программа сообщает, что приложение повреждено. Такое сообщение должно убедить жертву, что установка просто завершилась сбоем.

PamStealer также запрашивает полный доступ к диску, чтобы собрать больше данных, и обращается к публичным узлам Ethereum, хотя назначение этих соединений пока не установлено. Запрос дополнительных разрешений может появиться с задержкой до 40 минут, чтобы пользователь не связал его с запуском поддельного установщика.

Специалисты Jamf рассматривают PamStealer как пример нового поколения стилеров для macOS, которые реже запускают внешние команды и глубже используют штатные функции системы.
 
Источник новости
www.securitylab.ru

Похожие темы