PamStealer, noul malware care vânează parolele utilizatorilor de Mac: cum se ascunde într-o aplicație aparent inofensivă
Utilizatorii de Mac sunt din nou ținta unui program malițios construit special pentru a părea legitim și pentru a fura date sensibile fără să ridice imediat semne de întrebare. Numele lui este PamStealer, iar atacul pornește de la o copie falsă a aplicației Maccy, un clipboard manager real pentru macOS. Potrivit unei analize publicate de Ars Technica, amenințarea se remarcă printr-un lanț de infectare discret, în mai multe etape, conceput pentru a fura parole, date din browser și informații care pot fi valorificate ulterior de atacatori.
PamStealer nu este un malware obișnuit distribuit printr-un executabil evident suspect. În loc să afișeze imediat o fereastră dubioasă sau să ceară instalarea unei aplicații fără nume, acesta profită de încrederea utilizatorului într-un software cunoscut. Fișierul infectat vine într-o imagine de disc, cu nume și elemente grafice care imită Maccy, iar victima este încurajată să urmeze o instrucțiune banală: să deschidă fișierul și să apese Command + R.
Atacul pornește din Script Editor, nu dintr-o aplicație clasică
Primul stadiu al infecției este un fișier AppleScript compilat, cu extensia .scpt. Pe macOS, un astfel de document se poate deschide în Script Editor, instrumentul Apple folosit pentru automatizări și scripturi. Atacatorii ascund codul periculos mult mai jos în document, după o zonă mare de spațiu gol, în timp ce partea vizibilă pentru utilizator pare să conțină doar instrucțiuni normale de instalare.
După apăsarea combinației Command + R sau a butonului Run, Script Editor rulează codul integrat. Acesta descarcă apoi o a doua componentă a atacului, fără să se bazeze pe comenzi evidente precum curl sau zsh. În schimb, folosește JavaScript for Automation și API-uri native macOS, o alegere care reduce urmele vizibile și face activitatea mai greu de observat prin metodele clasice de detecție.
Metoda seamănă cu alte atacuri prin Script Editor, în care victima este convinsă să execute singură codul malițios. Diferența este că PamStealer merge mai departe, folosind un mecanism mai atent construit, cu verificări ale dispozitivului și cu o componentă secundară scrisă în Rust.
În mostrele analizate de cercetători, malware-ul viza Mac-uri cu procesoare Apple Silicon. Dacă sistemul nu corespundea anumitor condiții, componenta malițioasă se oprea discret. Această selecție poate ajuta atacatorii să reducă riscul ca programul să fie analizat automat în medii de test sau pe sisteme care nu reprezintă ținta reală.
Parola este verificată local înainte de a fi furată
A doua etapă a atacului este un infostealer scris în Rust, limbaj folosit mai rar în amenințările pentru macOS decât Swift, Objective-C sau Go. Componenta se ascunde în foldere și aplicații care mimează elemente de sistem, inclusiv Finder sau Software Update. Unele variante folosesc iconițe originale macOS pentru a părea mai credibile și rulează ascuns, fără o fereastră evidentă pentru utilizator.
Momentul cel mai periculos apare atunci când PamStealer afișează o cerere de parolă care imită autorizările normale ale macOS. Mesajul spune că Maccy vrea să facă modificări și cere parola contului. Spre deosebire de alte programe malițioase care trimit direct orice parolă introdusă, PamStealer o verifică local prin mecanismul PAM, sistemul de autentificare integrat în macOS.
Asta înseamnă că malware-ul poate distinge între o parolă greșită și una validă. Dacă utilizatorul introduce o parolă incorectă, fereastra apare din nou. Dacă parola este corectă, atacatorii o pot păstra, iar aplicația afișează ulterior un mesaj fals potrivit căruia fișierul este deteriorat și nu poate fi instalat. Scopul este ca victima să creadă că instalarea a eșuat și să nu suspecteze furtul datelor.
PamStealer poate solicita ulterior acces complet la disc, însă nu imediat. Cercetătorii au observat că unele cereri pot fi întârziate chiar și cu 40 de minute, tocmai pentru ca utilizatorul să nu le asocieze cu fișierul deschis anterior. Această tactică arată cât de mult au evoluat infostealerele pentru Mac, într-un moment în care reclamele Google care trimit la malware pe Mac devin tot mai frecvente.
Ce faci ca să nu cazi în capcană
Cea mai sigură regulă este să descarci aplicații doar de pe site-ul oficial al dezvoltatorului, din App Store sau din surse pe care le cunoști foarte bine. Nu rula scripturi din Script Editor doar pentru că o pagină, o reclamă sau un fișier descărcat îți cere să apeși Command + R. O aplicație legitimă nu ar trebui să îți ceară să execuți manual cod ascuns pentru a se instala.
Ai grijă și la numele aplicațiilor. Atacatorii pot folosi caractere din alte alfabete care arată aproape identic cu literele latine, astfel încât un nume fals să pară autentic la prima vedere. Verifică domeniul de unde descarci programul și evită rezultatele sponsorizate când cauți aplicații tehnice sau instrumente pentru dezvoltare.
Tactica are aceeași logică precum metoda ClickFix: infractorii nu trebuie să spargă neapărat protecțiile sistemului dacă reușesc să te convingă să pornești singur codul periculos. Dacă ai rulat un fișier suspect și ai introdus parola, schimb-o de pe un dispozitiv sigur, închide sesiunile active din conturile importante și verifică accesul la conturile bancare, e-mail și portofele crypto.