Atklāts jauns macOS ļaunprogrammatūras veids PamStealer, kas izmanto viltīgas metodes
Pētnieki atklājuši iepriekš neredzētu macOS ļaunprogrammatūru, kas apvieno vairākus izsmalcinātus paņēmienus, lai inficētu Mac datorus un nozagtu paroles.

Drošības uzņēmuma Jamf pētnieki ir atklājuši jaunu macOS ļaunprogrammatūru, kas nosaukta par PamStealer. Tā tiek piegādāta divos posmos. Pirmais posms ir diska attēls, kas uzdodas par Maccy — likumīgu starpliktuves pārvaldnieku. Šajā diska attēlā ir AppleScript, kas, veicot dubultklikšķi, atveras Script Editor logā. Ļaunprātīgais kods ir dziļi paslēpts failā. Tā vietā, lai izmantotu tipiskas čaulas komandas, AppleScript izmanto JavaScript for Automation (JXA), lai lejupielādētu otro posmu, izmantojot vietējās Objective-C saskarnes. Otrais posms ir rakstīts Rust valodā un ir informācijas zaglis. Tas izmanto macOS iebūvēto Pluggable Authentication Modules (PAM) saskarni, lai lokāli validētu lietotāja pieteikšanās paroli pirms tās nosūtīšanas uzbrucēja serverim. PamStealer izmanto vairākus slepenības paņēmienus. Tas apiet com.apple.quarantine atribūtu, liekot lietotājam nospiest Command-R tūlīt pēc dubultklikšķa, kas izpilda ļaunprātīgo kodu un izvairās no karantīnas brīdinājumiem. Otrais posms uzdodas par likumīgām sistēmas sastāvdaļām, piemēram, Finder vai Software Update, izmantojot īstās Finder ikonas. Tas arī šifrē komandvadības un kontroles saziņu un aizkavē pilnas diska piekļuves pieprasījumus līdz pat 40 minūtēm, lai izvairītos no atklāšanas. Šī paņēmienu kombinācija padara PamStealer klusāku nekā tipiski macOS zagļi. Ļaunprogrammatūra parāda, kā attīstās masveidā izmantojamie macOS zagļi, izmantojot vietējās implementācijas un mazāk pamanāmas izpildes ķēdes.


