Search
Malware

תוכנה זדונית חדשה של PamStealer Mac מתחזה למנהל הלוח כדי לגנוב את פרטי ההתחברות שלך – איך להישאר בטוחים

חוקרי אבטחה המתמקדים במכשירי אפל גילו תוכנה זדונית חדשה של macOS שנראית חכמה בצורה מפתיעה בזמן שהיא אוספת נתונים ואישורי כניסה.

לפי חברת ה-IT Jamf (באמצעות ArsTechnica), התוכנה הזדונית החדשה, המכונה PamStealer, יכולה להיכנס ל-Mac שלך בשני שלבים. ראשית, היא מתחפשת ל-Maccy, מנהלת לוח.

ככל הנראה, PamStealer מורכב כ-AppleScript שנכתב ב-Rust שמשתמש בממשק Pluggable Authentication Modules המובנה ב-macOS כדי למקד את סיסמת הכניסה של המכשיר, שנשלחת לאחר מכן לשרת הנשלט על ידי תוקף.

הסרטונים האחרונים מאת
צפו בסרטון המלא כאן:

מה שמייחד את PamStealer הוא שהוא משלב AppleScript ותמונות דיסק כדי להיכנס בחשאי למחשב שלך. כאשר אתה לוחץ על AppleScript, הוא פותח את עורך הסקריפט של macOS שבו התוכנה הזדונית קבורה בקובץ.

"במקום להסתמך על פקודות מעטפת כגון curl או zsh, ה-AppleScript מפעיל תוכנת JavaScript עבור אוטומציה (JXA) עצמאית המאחזרת ומשלבת את המטען באמצעות ממשקי API מקוריים של Objective-C", כתב צוות Jamf. "בשילוב עם שלב שני מבוסס חלודה וזרימת עבודה לכידת סיסמה המאמתת אישורים מקומית באמצעות PAM, התוצאה היא שרשרת ביצוע שקטה יותר ממה שאנו רואים בדרך כלל בגניבות macOS סחורות."

איך PamStealer עובד


מנעול פתוח מול הלוגו של אפל

כאשר מישהו מתקין את Maccy השקרי ופותח את תמונת הדיסק, הוא מתבקש להזין Command-R מיד. פעולה זו תפעיל את הקוד הזדוני בתוך AppleScript. זה מאפשר לו לעקוף את com.apple.quarantine, תכונת macOS רגילה שמציעה אזהרות והגבלות כאשר אתה פותח קבצי הפעלה מהאינטרנט.

השלב השני הוא קובץ Mach-O שנכתב במיוחד עבור מחשבי Mac המריצים מעבדי Apple M-series. חלודה היא ככל הנראה קוד לא נפוץ עבור גנבי מידע של macOS. זה מאגד את SQLite וקורא לזה read interface, כלומר הוא פותח וקורא קבצי מסדי נתונים ישירות.

PamStealer תופיע בקשת סיסמה מקורית שנועדה להידמות לבקשת הרשאת מערכת. הוא כתוב, ""מאסי רוצה לעשות שינויים. הזן את הסיסמה שלך כדי לאפשר זאת."

לאחר הזנת סיסמה, היא מאומתת באמצעות ה-API של PAM, כלומר קשה יותר לזהות מגיני תוכנות זדוניות. בנוסף, זה יכול לתת לשחקן זדוני גישה מלאה לדיסק או להחדיר קוד שנועד לגשת לחשבונות Ethereum.

"יחד, התנהגויות אלה ממחישות כיצד גונבי macOS סחורות ממשיכים להתפתח, תוך אימוץ שרשראות ביצוע שקטות יותר והטמעות מקוריות המפחיתות הזדמנויות זיהוי מסורתיות תוך שמירה על תואם לתכונות macOS סטנדרטיות", אמר Jamf.

כיצד לשמור על בטיחות מ- PamStealer


MacBook Pro M5

בראש ובראשונה, Maccy היא אפליקציה אמיתית, לגיטימית ופופולרית למדי. אם אתה מעוניין לבדוק את האפליקציה, האתר האמיתי היחיד הוא maccy.app.

Jamf גילה שה-Maccy המזויף מתארח ב-maccyapp.com, אתר שכדאי לך לֹא לְבַקֵר.

שנית, זוהי תזכורת טובה לבדוק כתובות אתרים כפולות ומשולשות. במיוחד עבור אפליקציות macOS, תוכל גם לראות אם האפליקציה המדוברת זמינה ב-Apple App Store. Maccy, למשל, נמצאת ב-App Store.

אפל היא עדיין גן די סגור, אז אם אתם מחפשים משהו ורוצה להיות בטוח שהוא אמיתי, הייתי ממליץ להתחיל שם לפני שתצאו אל העורף של האינטרנט.

מעבר לכך, ה-Mac שלך אכן מגיע עם תוכנת אבטחה מובנית בצורת XProtect. אבל אם אתה צריך הגנה נוספת, אולי שווה להשקיע באחד מפתרונות תוכנת האנטי-וירוס הטובים ביותר של Mac לרוץ לצדו.



חדשות גוגל


דילוג לתוכן