Исследователи Jamf нашли macOS-инфостилер PamStealer, который маскируется под Maccy и проверяет пароль через PAM. Разбираем, как он работает и как защититься.— Читать дальше «Новый вредонос PamStealer атакует macOS через поддельный Maccy»
Если вы скачиваете утилиты для macOS не из Mac App Store — проверьте источник перед установкой. Исследователи из компании Jamf обнаружили новый вредонос PamStealer, который распространяется под видом популярного менеджера буфера обмена Maccy и использует редкую комбинацию приёмов, чтобы остаться незамеченным.
PamStealer — это инфостилер (вредонос, крадущий данные), написанный на языке Rust. Он ориентирован на компьютеры Apple с процессорами Apple Silicon и собирает пароли, данные браузеров и, по данным исследователей, обращается к аккаунтам Ethereum.
Главная особенность новой угрозы — способ проверки пароля. Вместо запуска вспомогательных утилит вроде dscl или security вредонос использует встроенный в macOS интерфейс PAM (Pluggable Authentication Modules). Это делает проверку тише и оставляет меньше следов для защитных решений.
PamStealer — новый macOS-инфостилер, замаскированный под менеджер буфера обмена Maccy.
Первая стадия доставляется как AppleScript внутри образа диска DMG; запуск через Command-R обходит карантин macOS.
Вторая стадия написана на Rust, маскируется под Finder, шифрует связь с сервером управления и откладывает запрос полного доступа к диску до 40 минут.
Пароль жертвы проверяется локально через системный интерфейс PAM, без запуска дополнительных процессов.
Угроза нацелена на компьютеры Apple с процессорами Apple Silicon.
Злоумышленники распространяют PamStealer в образе диска DMG, который выглядит как установщик Maccy. Внутри находится файл AppleScript (.scpt). При двойном клике macOS открывает его в Script Editor, а жертве предлагается нажать Command-R — якобы для запуска установки. Эта команда выполняет вредоносный код и снимает атрибут карантина com.apple.quarantine, который обычно предупреждает о запуске файлов из интернета.
Для загрузки второй стадии AppleScript содержит самодостаточный JXA (JavaScript for Automation) загрузчик. Он использует нативные Objective-C API вместо привычных shell-команд вроде curl или zsh, что ещё больше снижает заметность для защитных решений.
Вторая стадия — компактный бинарник Mach-O для Apple Silicon. Он размещается внутри поддельного приложения, которое выдаёт себя за системный Finder: исследователи видели идентификаторы com.apple.finder.core и com.apple.finder.monitor. Поддельное приложение использует настоящую иконку Finder. Бинарник написан на Rust — для macOS-инфостилеров это относительно редкий выбор: чаще встречаются Swift, Go или Objective-C.
После запуска PamStealer показывает поддельный системный запрос пароля с текстом «Maccy wants to make changes. Enter your password to allow this». Если пароль неверный, запрос появляется снова. После успешной проверки вредонос выводит сообщение о повреждённом файле, чтобы жертва не заподозрила неладное.
Чтобы собрать больше данных, PamStealer запрашивает полный доступ к диску, но делает это с задержкой до 40 минут после запуска. Так временной разрыв между инфицированием и подозрительным действием затрудняет анализ инцидента.
Угроза актуальна для пользователей macOS на чипах Apple Silicon, которые скачивают приложения со сторонних сайтов. Подлинный Maccy распространяется через официальный сайт и менеджер пакетов Homebrew; заражённый образ выдаёт себя за него, но получен из неизвестного источника.
Часто задаваемые вопросы
1
Что такое PamStealer?
PamStealer — новый инфостилер для macOS, который маскируется под менеджер буфера обмена Maccy и крадёт пароли, данные браузеров и криптокошельков.
2
Как он попадает на компьютер?
Через поддельный образ диска DMG с файлом AppleScript. Жертва нажимает Command-R в Script Editor, что запускает вредоносный код и обходит карантин macOS.
3
Почему PAM — это важно?
Потому что проверка пароля происходит локально через системный интерфейс PAM, без запуска дополнительных процессов. Это делает атаку тише и заметить её сложнее.
4
Что делает вторая стадия?
Читает базы данных SQLite, пытается получить полный доступ к диску, крадёт пароли и данные кошельков, шифрует связь с сервером управления.
5
Как защититься?
Скачивать ПО из проверенных источников, не вводить пароль в подозрительных запросах, использовать EDR и держать систему в актуальном состоянии.
Вредоносы для macOS продолжают развиваться, переходя на более тихие цепочки выполнения и нативные реализации, которые снижают возможности традиционного обнаружения, оставаясь совместимыми со стандартными функциями системы.
Исследователи JamfJamf Threat Labs
PamStealer демонстрирует, что macOS-угрозы продолжают эволюционировать: они всё чаще используют нативные API, уходят от shell-команд и затягивают временные интервалы между этапами атаки. Для пользователей главная защита — привычка устанавливать ПО только из проверенных источников и внимательность к системным запросам пароля.
Подробнее — в материале Ars Technica.
Проверьте, откуда скачаны ваши приложения для macOS.