Mastodon
Zdjęcie okładkowe wpisu Fałszywy menedżer schowka kradnie hasła na Macu. Poznaj sprytnego PamStealera

Fałszywy menedżer schowka kradnie hasła na Macu. Poznaj sprytnego PamStealera

0
Dodane: 11 godzin temu

Pobierasz z sieci niewielkie, przydatne narzędzie, instalator rzuca komunikatem o uszkodzonym pliku, a ty machasz na to ręką.

W tle jednak właśnie oddałeś hakerom klucze do swojego cyfrowego życia. Badacze do spraw cyberbezpieczeństwa z firmy Jamf natrafili na nowy, wysoce wyrafinowany złośliwy kod wymierzony w użytkowników macOS. Wirus o nazwie PamStealer udowadnia, że cyberprzestępcy wkładają coraz więcej wysiłku w omijanie zabezpieczeń komputerów Apple.

Pułapka ukryta w popularnej aplikacji

PamStealer rozprzestrzenia się pod postacią instalatora udającego Maccy – popularnego i cenionego menedżera schowka dla komputerów Mac. Zamiast właściwego programu, użytkownik pobiera obraz dysku zawierający złośliwy skrypt. Aby zainfekować system i pominąć wbudowane w macOS mechanizmy izolacji (tzw. kwarantannę blokującą nieznane pliki z sieci), fałszywy instalator wręcz prosi ofiarę o wciśnięcie kombinacji klawiszy Command-R.

Wykonanie tego polecenia uruchamia lawinę zdarzeń ukrytych głęboko przed okiem użytkownika. Skrypt bezszelestnie pobiera główny moduł wirusa, wykorzystując do tego natywne, systemowe narzędzia programistyczne Apple. Dzięki temu cały proces instalacji nie wzbudza najmniejszych podejrzeń programów antywirusowych.

Weryfikacja hasła prosto z systemu

Tym, co najbardziej wyróżnia PamStealera, jest sposób, w jaki przechwytuje dane logowania. Kod wirusa został napisany w języku Rust, co samo w sobie jest nietypowe dla złośliwego oprogramowania na macOS. Gdy program usadowi się już w systemie (często przebierając się za systemowego Findera), wyświetla fałszywe okienko z prośbą o podanie hasła administratora. Z pozoru wygląda ono jak standardowy, natywny monit autoryzacyjny Apple.

Zamiast jednak wysyłać wpisane dane w ciemno do hakera, PamStealer weryfikuje je lokalnie, korzystając z wbudowanego w macOS modułu uwierzytelniania PAM (Pluggable Authentication Modules). Jeśli wpiszesz błędne hasło, okienko pojawi się ponownie. Gdy podasz prawidłowe, wirus wyświetli fałszywy komunikat o „uszkodzonym pliku”, by uśpić twoją czujność. Dopiero wtedy poprawne dane logowania wędrują zaszyfrowanym kanałem prosto na serwer przestępców.

Cichy złodziej kryptowalut i danych

Twórcy tego zagrożenia włożyli mnóstwo wysiłku w to, by ich narzędzie działało jak duch. Wirus potrafi na przykład opóźnić systemową prośbę o pełny dostęp do dysku nawet o 40 minut. Dzięki temu użytkownik nie powiąże nagłego komunikatu z wcześniejszą próbą instalacji rzekomego menedżera schowka.

Gdy PamStealer uzyska już odpowiednie uprawnienia, nie ogranicza się tylko do kradzieży hasła głównego. W jego kodzie znaleziono również skrypty aktywnie poszukujące portfeli z kryptowalutą Ethereum. To kolejne, bolesne przypomnienie, że choć ekosystem macOS jest solidnie zabezpieczony, to najsłabszym ogniwem wciąż pozostaje użytkownik pobierający oprogramowanie z niezweryfikowanych źródeł.

OpenAI na celowniku hakerów. Sprytny atak i pilna aktualizacja aplikacji dla macOS

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .