-
פייסבוק
-
X
-
Reddit
-
אֶלֶקטרוֹנִי
שתפו את המאמר הזה
0
הצטרף לשיחה
עקבו אחרינו
הירשם לניוזלטר שלנו
חוקרי אבטחה המתמקדים במכשירי אפל גילו תוכנה זדונית חדשה של macOS שנראית חכמה בצורה מפתיעה בזמן שהיא אוספת נתונים ואישורי כניסה.
לפי חברת ה-IT Jamf (באמצעות ArsTechnica), התוכנה הזדונית החדשה, המכונה PamStealer, יכולה להיכנס ל-Mac שלך בשני שלבים. ראשית, היא מתחפשת ל-Maccy, מנהלת לוח.
ככל הנראה, PamStealer מורכב כ-AppleScript שנכתב ב-Rust שמשתמש בממשק Pluggable Authentication Modules המובנה ב-macOS כדי למקד את סיסמת הכניסה של המכשיר, שנשלחת לאחר מכן לשרת הנשלט על ידי תוקף.
מה שמייחד את PamStealer הוא שהוא משלב AppleScript ותמונות דיסק כדי להיכנס בחשאי למחשב שלך. כאשר אתה לוחץ על AppleScript, הוא פותח את עורך הסקריפט של macOS שבו התוכנה הזדונית קבורה בקובץ.
"במקום להסתמך על פקודות מעטפת כגון curl או zsh, ה-AppleScript מפעיל תוכנת JavaScript עבור אוטומציה (JXA) עצמאית המאחזרת ומשלבת את המטען באמצעות ממשקי API מקוריים של Objective-C", כתב צוות Jamf. "בשילוב עם שלב שני מבוסס חלודה וזרימת עבודה לכידת סיסמה המאמתת אישורים מקומית באמצעות PAM, התוצאה היא שרשרת ביצוע שקטה יותר ממה שאנו רואים בדרך כלל בגניבות macOS סחורות."
איך PamStealer עובד
כאשר מישהו מתקין את Maccy השקרי ופותח את תמונת הדיסק, הוא מתבקש להזין Command-R מיד. פעולה זו תפעיל את הקוד הזדוני בתוך AppleScript. זה מאפשר לו לעקוף את com.apple.quarantine, תכונת macOS רגילה שמציעה אזהרות והגבלות כאשר אתה פותח קבצי הפעלה מהאינטרנט.
השלב השני הוא קובץ Mach-O שנכתב במיוחד עבור מחשבי Mac המריצים מעבדי Apple M-series. חלודה היא ככל הנראה קוד לא נפוץ עבור גנבי מידע של macOS. זה מאגד את SQLite וקורא לזה read interface, כלומר הוא פותח וקורא קבצי מסדי נתונים ישירות.
קבל גישה מיידית לחדשות מרעננות, לביקורות החמות ביותר, למבצעים מעולים וטיפים מועילים.
PamStealer תופיע בקשת סיסמה מקורית שנועדה להידמות לבקשת הרשאת מערכת. הוא כתוב, ""מאסי רוצה לעשות שינויים. הזן את הסיסמה שלך כדי לאפשר זאת."
לאחר הזנת סיסמה, היא מאומתת באמצעות ה-API של PAM, כלומר קשה יותר לזהות מגיני תוכנות זדוניות. בנוסף, זה יכול לתת לשחקן זדוני גישה מלאה לדיסק או להחדיר קוד שנועד לגשת לחשבונות Ethereum.
"יחד, התנהגויות אלה ממחישות כיצד גונבי macOS סחורות ממשיכים להתפתח, תוך אימוץ שרשראות ביצוע שקטות יותר והטמעות מקוריות המפחיתות הזדמנויות זיהוי מסורתיות תוך שמירה על תואם לתכונות macOS סטנדרטיות", אמר Jamf.
כיצד לשמור על בטיחות מ- PamStealer
בראש ובראשונה, Maccy היא אפליקציה אמיתית, לגיטימית ופופולרית למדי. אם אתה מעוניין לבדוק את האפליקציה, האתר האמיתי היחיד הוא maccy.app.
Jamf גילה שה-Maccy המזויף מתארח ב-maccyapp.com, אתר שכדאי לך לֹא לְבַקֵר.
שנית, זוהי תזכורת טובה לבדוק כתובות אתרים כפולות ומשולשות. במיוחד עבור אפליקציות macOS, תוכל גם לראות אם האפליקציה המדוברת זמינה ב-Apple App Store. Maccy, למשל, נמצאת ב-App Store.
אפל היא עדיין גן די סגור, אז אם אתם מחפשים משהו ורוצה להיות בטוח שהוא אמיתי, הייתי ממליץ להתחיל שם לפני שתצאו אל העורף של האינטרנט.
מעבר לכך, ה-Mac שלך אכן מגיע עם תוכנת אבטחה מובנית בצורת XProtect. אבל אם אתה צריך הגנה נוספת, אולי שווה להשקיע באחד מפתרונות תוכנת האנטי-וירוס הטובים ביותר של Mac לרוץ לצדו.