Šta se desilo?

Istraživači bezbednosti su otkrili novu malveru za macOS nazvan PamStealer koja se distribuira kao lažna verzija poznatog clipboard menadžera Maccy. Malvera koristi sofisticirane tehnike da prosledi provjeru autentifikacije korisnika kroz macOS PAM (Pluggable Authentication Modules) sistem i ukrade lozinke. Distribucija se vrši kroz fejk vebsajt koji izgleda kao originalni sajt aplikacije, a priložena datoteka je kompajlirani AppleScript koji preuzima dodatnu Rust-baziranu komponentu.

Koga pogađa?

Korisnici macOS operativnog sistema su u riziku, posebno oni koji instaliraju aplikacije sa nepouzdanih izvora ili slučajno posete lažne vebsajte. Napada su pogotovo uspešna jer se malvera maskira kao legitimna aplikacija koju mnogi korisnici koriste za upravljanje clipboard memorijom.

Kako se zaštititi?

  • Preuzimajte aplikacije isključivo sa zvaničnih vebsajta - uverite se da je URL točan pre nego što preuzmete softver
  • Pazite na likove u URL adresi koji se lako mogu zbuniti (n umesto m, com umesto app, itd.)
  • Nikada ne pokrenite nepoznate skripte ili aplikacije iz nepouzdanih izvora
  • Budite skeptični prema porukama koje zahtevaju vašu lozinku čak i iz poznatih aplikacija
  • Koristite upravljače lozinki da izbegnete ponovno korišćenje lozinki
  • Redovno ažurirajte macOS i sve instalovane aplikacije na najnovije verzije
  • Uključite zaštitu od malvera iz pouzdane sigurnosne kompanije

Tehnički detalji

Malvera se distribuira u dva stage-a. Inicijalni stage je kompajlirani AppleScript (.scpt) fajl koji sadrži JavaScript for Automation (JXA) downloader. Script koristi Objective-C API-je da preuzme drugi stage - Rust-baziranu malveru koja se maskira kao Finder. Sofisticiran pristup zaobilazi Apple Gatekeeper zaštitu čak i ako fajl ima quarantine atribut. Malvera prvo vrši analizu sistema - detektuje arhitekturu procesora (ciljava samo Apple Silicon Macs), lokalizaciju, raspored tastature i vremensku zonu. Ako sistem nije kompatibilan, malvera se završava. Dodatno, izvršavanje se blokiraje na sistemima iz Istočne Evrope (Rusija, Belorusija, Kazahstan, Armenija, Azerbejdžan, Kirgistan, Moldavija, Tadžikistan, Uzbekistan, Turkmenistan, Gruzija). Ukradeni podaci se šalju na attacker infrastrukturu preko HTTP zahteva sa enkripcijom.

Zašto je važno za region

Ovaj tip napada je posebno relevantan za korisnike u Zapadnom Balkanu jer pokazuje kako se napadi na macOS sisteme sofisticiraniji. Dok su napadi na Windows sisteme češće poznati, korisnici Mac uređaja često prave greške mišljenja da su automtski zaštićeni. Malvera koja se maskira kao legitimna aplikacija predstavlja opasnost jer korisnici u regionu često preuzimaju softver sa alternativnih izvora zbog cene.

Preporuka Sajber Radara

MacOS korisnicima preporučujemo maksimalnu opreznost pri instalaciji aplikacija. Proverite URL adresu sajta više puta - lažnjaci često koriste male razlike u domenama. Ako ste slučajno preuzeli ovu malveru, odmah promenite sve vaše važne lozinke na drugim uređajima koji nisu kompromitovani.