Siber güvenlik araştırmacıları, macOS işletim sistemini hedef alan yeni bir bilgi hırsızı keşfetti: PamStealer. Jamf Threat Labs tarafından tespit edilen bu kötü amaçlı yazılım, meşru bir açık kaynak pano yöneticisi olan Maccy uygulamasını taklit ederek dağıtılıyor. Adını, macOS Pluggable Authentication Modules (PAM) aracılığıyla kurbanın oturum açma şifresini doğrulama yeteneğinden alan PamStealer, iki aşamalı bir saldırı zinciri kullanıyor. İlk aşamada, disk imajı içinde dağıtılan derlenmiş bir AppleScript dosyası, ikinci aşamada ise Rust tabanlı bir bilgi hırsızı yer alıyor.
Saldırının başlangıç vektörü, Maccy'nin resmi sitesine benzeyen bir sahte site (maccyapp[.]com). Kullanıcılar bu siteyi ziyaret ettiğinde, disk imajı içindeki AppleScript dosyası (Maccy.scpt) otomatik olarak çalıştırılıyor. Ancak bu script, Script Editor üzerinden çalıştırıldığında, kullanıcıdan '⌘ + R' kısayolu veya Run butonuna tıklamasını isteyerek dosyanın altında gizlenmiş kötü amaçlı kodu tetikliyor. Araştırmacı Thijs Xhaflaire'e göre, bu yöntem Apple'ın Gatekeeper ve Terminal kısıtlamalarını aşmak için etkili bir yol sunuyor. Ayrıca, AppleScript dropper, yalnızca Apple Silicon tabanlı Mac'lerde çalışacak şekilde tasarlanmış; Intel tabanlı Mac'lerde ise şifre çözme başarısız oluyor ve script sonlanıyor.
PamStealer'ın dikkat çeken bir diğer özelliği, hedef sistemin konumuna duyarlı olması. Doğu Avrupa ülkelerinden (Rusya, Belarus, Kazakistan, Ermenistan, Azerbaycan, Kırgızistan, Moldova, Tacikistan, Özbekistan, Türkmenistan ve Gürcistan) gelen sistemleri otomatik olarak atlıyor. Ayrıca, sanal ortam veya analiz araçları tarafından tespit edilmekten kaçınıyor. Tüm kontroller geçildikten sonra, script uzak sunucudan Rust ile yazılmış bir Mach-O ikili dosyası indiriyor. Bu dosya, Finder uygulaması gibi görünerek web tarayıcıları, kripto para cüzdan eklentileri, iCloud Anahtar Zinciri ve pano içeriğinden veri topluyor. Toplanan bilgiler şifrelenip avenger-sync[.]live adresine gönderiliyor.
Kullanıcıyı tam dosya sistemi erişimi vermeye zorlayan PamStealer, ayrıca sahte bir şifre istemi gösteriyor. Kullanıcının girdiği şifreyi PAM API üzerinden doğrulayarak, yanlış girilirse tekrar istiyor. Doğru şifre alındığında ise 'Maccy hasar gördü ve açılamıyor. Çöp kutusuna taşımalısınız' şeklinde sahte bir uyarı göstererek, kurbanın uygulamayı silmesini sağlıyor. Bu sırada, kötü amaçlı yazılım zaten şifreyi ele geçirmiş ve kalıcılık sağlamış oluyor. Maccy geliştiricisi Alex Rodionov, kullanıcıları sahte sitelere karşı uyararak yalnızca resmi site olan maccy[.]app'i kullanmalarını tavsiye ediyor. Jamf Threat Labs, bu tür saldırıların macOS bilgi hırsızlarının giderek daha karmaşık hale geldiğini ve geleneksel tespit yöntemlerini aştığını belirtiyor.