Siber güvenlik araştırmacıları, macOS sistemlerini hedef alan yeni bir bilgi hırsızı olan PamStealer'ı tespit etti. Jamf Threat Labs tarafından keşfedilen bu zararlı yazılım, meşru bir açık kaynak pano yöneticisi olan Maccy uygulamasını taklit ederek kullanıcıları kandırıyor. PamStealer ismini, macOS'un Pluggable Authentication Modules (PAM) API'sini kullanarak kurbanın login şifresini doğrulama yeteneğinden alıyor. Bu özellik, zararlı yazılımın şifreyi çalmadan önce geçerli olduğundan emin olmasını sağlıyor.
Zararlı yazılım iki aşamalı bir enfeksiyon süreci izliyor. İlk aşamada, bir disk imajı içinde dağıtılan derlenmiş bir AppleScript (.scpt) dosyası yer alıyor. Bu dosya, ikinci aşamadaki yükü indirip çalıştırmak üzere tasarlanmış. İkinci aşama ise Rust programlama diliyle yazılmış bir bilgi hırsızı. Bu hırsız, kimlik bilgilerini çalma, tarayıcı verilerini toplama, kalıcılık sağlama ve verileri sızdırma yeteneklerine sahip.
İlk bulaşma vektörü, Maccy'nin resmi sitesini (maccy[.]app) taklit eden sahte bir site (maccyapp[.]com). Disk imajı içindeki AppleScript dosyası (Maccy.scpt), çalıştırıldığında JavaScript for Automation (JXA) tabanlı bir indiriciyi devreye sokuyor. Bu indirici, yerel Objective-C API'lerini kullanarak zararlı yükü indiriyor ve çalıştırıyor. İlginç bir şekilde, script Script Editor ile açıldığında kullanıcıdan '⌘ + R' kısayoluyla veya Run butonuna tıklayarak çalıştırmasını isteyen talimatlar gösteriyor. Bu sayede, dosyadaki boş satırların altına gizlenmiş kötü amaçlı kodlar çalıştırılıyor.
Önemli Gelişmeler
Araştırmacı Thijs Xhaflaire'e göre, bu teknik Apple'ın Gatekeeper ve Terminal gibi güvenlik önlemlerini sıkılaştırmasına rağmen işe yarıyor. AppleScript dropper, çevreye duyarlı özellikler içeriyor. Sadece Apple Silicon üzerinde çalıştığını tespit ederse enfeksiyon devam ediyor. Bunun için CPU mimarisi, yerel ayarlar, klavye düzeni ve saat dilimi gibi bilgileri kullanarak bir parmak izi oluşturuyor ve bu parmak izine göre bir şifreleme anahtarı türetiyor. Intel tabanlı Mac'lerde bu anahtar farklı olduğu için şifre çözme başarısız oluyor ve dropper sonlanıyor.
Ayrıca script, Doğu Avrupa ülkelerinden (Rusya, Belarus, Kazakistan, Ermenistan, Azerbaycan, Kırgızistan, Moldova, Tacikistan, Özbekistan, Türkmenistan ve Gürcistan) gelen sistemlerde çalışmıyor. Tüm kontroller geçildikten sonra, script harici bir sunucuya bağlanarak Finder uygulaması gibi görünen bir Mach-O ikili dosyası indiriyor. Bu Rust tabanlı ikili dosya, web tarayıcılarından, kripto para cüzdanı eklentilerinden, iCloud Anahtar Zinciri'nden ve pano içeriğinden veri topluyor. Toplanan veriler şifrelenerek attacker-controlled infrastructure'a (avenger-sync[.]live) HTTP üzerinden gönderiliyor.
PamStealer, kullanıcıyı tam dosya sistemi erişimi vermeye zorlamanın yanı sıra, bir şifre doğrulama penceresi gösteriyor. Kullanıcının girdiği şifreyi PAM API'si aracılığıyla doğruluyor. Doğrulama başarısız olursa, kullanıcıdan tekrar şifre girmesini isteyerek doğru şifre girilene kadar döngüyü tekrarlıyor. Doğru şifre alındıktan sonra, sahte bir hata mesajı gösteriliyor: 'Maccy hasar gördü ve açılamıyor. Çöp kutusuna taşımalısınız.' Bu mesaj, kullanıcının zararlı yazılımı silmesini sağlamak için bir tuzak. Aslında zararlı yazılım çoktan çalışmış, şifreyi ele geçirmiş ve kalıcılık sağlamış oluyor.
Bu gelişme üzerine Maccy'nin geliştiricisi Alex Rodionov, web sitesine ve GitHub deposuna bir uyarı ekleyerek kullanıcıları sahte sitelere karşı uyardı. Jamf Threat Labs, bu tür davranışların macOS bilgi hırsızlarının nasıl evrildiğini gösterdiğini belirtiyor: Daha sessiz çalışma zincirleri, yerel uygulamalar ve geleneksel tespit yöntemlerini atlatan teknikler. Kullanıcıların yalnızca resmi kaynaklardan yazılım indirmeleri ve bilinmeyen kaynaklardan gelen AppleScript dosyalarını çalıştırmamaları öneriliyor.
Kaynak: thehackernews.com