Uus macOS-i pahavara PamStealer kasutab varjatuks jäämiseks nutikaid võtteid

Turvauurijad on avastanud seni tundmatu macOS-i pahavara, mis kasutab Mac-arvutite nakatamiseks ja paroolide varastamiseks mitmeid kavalaid võtteid. Pahavara levitatakse kaheastmeliselt: esimene etapp peidab end kettatõmmises, mis matkib populaarset lõikepuhvri haldurit Maccy, ja on kompileeritud AppleScriptina.

Rust-keeles kirjutatud pahavara sai nimeks PamStealer, sest see kasutab macOS-i sisseehitatud Pluggable Authentication Modules (PAM) liidest, et kinnitada ohvri sisselogimisparool enne selle saatmist ründaja serverisse. Pahavara kuvab süsteemse välimusega paroolikasti tekstiga, et Maccy soovib teha muudatusi. Turvafirma Jamf toob välja, et paroolikontroll toimub täielikult PAM-i kaudu, ilma dscl, security või osascript väliste protsessideta, mida tavalised varastajad kasutavad, mistõttu on rünnak kaitsjatele raskemini tuvastatav.

Kui parool on vale, kordab pahavara päringut. Õige parooli sisestamisel kuvatakse peibutuseks teade, et fail on rikutud ja seda ei saa paigaldada. PamStealer palub ka täielikku kettajuurdepääsu ning sisaldab koodi Ethereumi kontode ründamiseks.

Loe täispikka artiklit: Slashdot

Lisa kommentaar