Jamf Threat Labs Identifica Malware PamStealer a Fingir-se de Aplicação Maccy

A Jamf Threat Labs identificou um novo infostealer para macOS baseado em Rust chamado PamStealer que se faz passar pelo gestor de área de transferência open-source Maccy. Num relatório publicado na quinta-feira, a empresa de cibersegurança afirmou que a campanha utiliza um site falsificado para distribuir um ficheiro AppleScript malicioso que pode roubar palavras-passe e chaves de carteiras de criptomoedas de utilizadores de Mac. O malware valida as palavras-passe de início de sessão das vítimas através dos Módulos de Autenticação Ligáveis (PAM) do macOS antes de as recolher, de acordo com a Jamf Threat Labs. Esta descoberta reflete uma tendência mais ampla de atacantes disfarçarem malware como software legítimo e abusarem de plataformas de programadores de confiança e canais de publicidade.

Jamf Threat Labs Descobre Método de Distribuição do PamStealer

De acordo com a Jamf Threat Labs, a campanha usa um site semelhante para distribuir uma imagem de disco contendo um ficheiro AppleScript malicioso chamado Maccy.scpt. Quando aberto, o ficheiro apresenta instruções dizendo aos utilizadores para o executarem no Editor de Scripts da Apple, enquanto esconde o código malicioso mais abaixo no documento.

"Estamos a monitorizar este malware sob o nome PamStealer, devido a um dos seus comportamentos principais: validar a palavra-passe de início de sessão da vítima através dos Módulos de Autenticação Ligáveis (PAM) do macOS antes de a recolher", escreveu a Jamf Threat Labs no relatório.

Jaron Bradley, diretor da Jamf Threat Labs, disse ao Decrypt que os atacantes têm estado a comprar espaço publicitário no Google para atrair utilizadores para aplicações maliciosas. "Observámos recentemente anúncios maliciosos a serem alojados também no X", afirmou Bradley. "Estas técnicas de engenharia social têm-se mostrado altamente eficazes."

PamStealer Utiliza Técnicas Avançadas de Evasão

O malware usa JavaScript para Automação e APIs nativas do macOS para descarregar um payload de segunda fase sem recorrer a utilitários de shell comuns, como curl ou zsh, reduzindo o número de processos que as ferramentas de segurança podem observar.

De acordo com o relatório, a segunda fase é um binário baseado em Rust concebido para Macs com Apple Silicon, que se disfarça de Finder ou Software Update. "Em vez de armazenar a sua configuração em texto claro, o dropper deriva uma chave a partir de uma impressão digital do anfitrião — incluindo a sua arquitetura de CPU, localidade, disposição do teclado e fuso horário — e utiliza-a para desbloquear uma configuração encriptada e com verificação de integridade que contém o URL do payload e o caminho de instalação", afirmou a empresa.

Se o malware não conseguir verificar que está a ser executado no alvo pretendido, desliga-se silenciosamente.

Capacidades do Malware Incluem Roubo de Credenciais e Persistência

Uma vez instalado, o malware consegue roubar credenciais de navegadores e dados do Keychain, monitorizar o conteúdo da área de transferência, estabelecer persistência e enviar as informações roubadas para um servidor de comando e controlo remoto através de comunicações encriptadas.

O malware tenta expandir o seu acesso exibindo um alerta falso do Finder que pede aos utilizadores que concedam Acesso Total ao Disco. O aviso pode aparecer até 40 minutos após a infeção, tornando menos provável que os utilizadores o associem à descarga original. Se aprovado, o malware pode aceder a dados protegidos, incluindo Mail, Mensagens e backups do Time Machine.

De acordo com Bradley, a Jamf não observou qualquer evidência de que o PamStealer esteja ativo no mundo real. A empresa notificou a Apple das suas descobertas. A Apple não respondeu imediatamente a um pedido de comentário do Decrypt.

Jamf Identifica Campanha Relacionada na Plataforma X

A Jamf afirmou estar a ver técnicas de engenharia social semelhantes a espalhar-se para outras plataformas. Numa publicação no X da semana passada, a empresa disse estar a investigar um anúncio patrocinado no X a promover o DynamicLake que redirecionava utilizadores para dynamicmacisland[.]com, onde lhes era instruído abrir o Terminal e executar um comando de instalação.

"O anúncio foi entregue através de uma conta verificada no X, adicionando outra camada de confiança à engenharia social", escreveu a empresa. "A análise do payload revelou uma variante recente do Atomic (MacSync) Stealer."

Descoberta Reflete Tendência Mais Ampla de Malware

As descobertas surgem numa altura em que os atacantes disfarçam cada vez mais malware como software legítimo e abusam de plataformas de programadores de confiança e canais de publicidade. Campanhas recentes incluíram um repositório falso da OpenAI que atingiu o topo dos projetos em tendência do Hugging Face antes de distribuir um infostealer baseado em Rust, uma extensão maliciosa do Visual Studio Code que o GitHub disse ter exposto cerca de 3.800 repositórios internos, e a campanha de cadeia de fornecimento de software Shai-Hulud que visava ferramentas de desenvolvimento usadas por empresas de IA, incluindo OpenAI e Mistral AI.

FAQ

O que é o malware PamStealer e como ataca utilizadores de Mac?

O PamStealer é um infostealer para macOS baseado em Rust identificado pela Jamf Threat Labs que se faz passar pelo gestor de área de transferência open-source Maccy. O malware é distribuído através de um site falso que fornece um ficheiro AppleScript malicioso. Valida as palavras-passe de início de sessão das vítimas através dos Módulos de Autenticação Ligáveis (PAM) do macOS antes de roubar credenciais de navegadores, dados do Keychain e monitorizar o conteúdo da área de transferência.

Como é que o PamStealer evita a deteção por ferramentas de segurança?

De acordo com a Jamf Threat Labs, o PamStealer usa JavaScript para Automação e APIs nativas do macOS para descarregar um payload de segunda fase sem recorrer a utilitários de shell comuns, como curl ou zsh, reduzindo o número de processos que as ferramentas de segurança podem observar. O malware também deriva uma chave a partir da impressão digital do anfitrião para desbloquear uma configuração encriptada e desliga-se se não conseguir verificar que está a ser executado no alvo pretendido.

A Jamf observou o PamStealer a ser usado em ataques ativos?

De acordo com Jaron Bradley, diretor da Jamf Threat Labs, a Jamf não observou qualquer evidência de que o PamStealer esteja ativo no mundo real. A empresa notificou a Apple das suas descobertas, mas a Apple não respondeu imediatamente a um pedido de comentário do Decrypt.

Aviso legal: As informações contidas nesta página podem provir de fontes externas e têm caráter meramente informativo. Não refletem os pontos de vista nem as opiniões da Gate e não constituem qualquer tipo de aconselhamento financeiro, de investimento ou jurídico. A negociação de ativos virtuais envolve um risco elevado. Não se baseie exclusivamente nas informações contidas nesta página ao tomar decisões. Para mais detalhes, consulte o Aviso legal.
Comentar
0/400
Nenhum comentário