Изследователи по киберсигурност откриха нов софтуер за кражба на информация (инфостийлър) за macOS, наречен PamStealer, който използва поредица от хитри трикове за заразяване на системи и източване на чувствителни данни.
Зловредният софтуер, открит от Jamf Threat Labs, се разпространява като компилиран AppleScript (.scpt) файл, имитиращ Maccy – легитимен мениджър на клипборда с отворен код. Той е наречен PamStealer поради способността си да валидира паролата за вход на жертвата чрез модулите за автентификация на macOS (PAM), преди да я открадне.
Заплахата се доставя на два етапа: компилиран AppleScript в дисков образ, който изтегля следващия полезен товар, и вторичен компонент – инфостийлър, написан на Rust, който краде идентификационни данни, събира данни от браузъри, осигурява си персистентност и извлича информацията.
Първоначалният вектор на атака е фалшив уебсайт (maccyapp[.]com), който имитира официалния (maccy[.]app). Изпълнението на скрипта заобикаля някои защити на Apple, дори когато файлът съдържа атрибута com.apple.quarantine. Освен това той има защити срещу стартиране в среди за анализ (пясъчници) и се прекратява, ако открие, че системата е в Източна Европа (Русия, Беларус и др.) или не работи на Apple Silicon (ARM64 архітектура).
След като премине проверките, софтуерът изтегля Rust компонент, който изисква достъп до файловата система и показва подправен прозорец за въвеждане на парола. Тази парола се проверява локално чрез PAM API и се изисква повторно, докато не бъде въведена правилно. Накрая се показва фалшиво съобщение, че приложението е повредено, за да се накара потребителят да го изтрие, мислейки, че просто не работи, докато данните му вече са изпратени към сървър за управление (avenger-sync[.]live).