Siber güvenlik araştırmacıları, macOS sistemlerini hedef alan yeni bir bilgi hırsızı olan PamStealer'ı tespit etti. Jamf Threat Labs tarafından keşfedilen bu kötü amaçlı yazılım, meşru bir açık kaynak pano yöneticisi olan Maccy'yi taklit ederek dağıtılıyor. PamStealer adını, macOS Pluggable Authentication Modules (PAM) aracılığıyla kurbanın giriş şifresini doğrulama ve ardından çalma yeteneğinden alıyor. Bu yöntem, kötü amaçlı yazılımın daha sessiz ve tespit edilmesi zor bir çalışma zinciri oluşturmasını sağlıyor.
Zararlı yazılım iki aşamalı olarak çalışıyor. İlk aşamada, sahte bir web sitesi (maccyapp[.]com) üzerinden dağıtılan disk imajı içinde derlenmiş bir AppleScript dosyası yer alıyor. Bu AppleScript, Script Editor ile açıldığında kullanıcıdan '⌘ + R' kısayoluyla veya Run butonuna tıklayarak çalıştırmasını istiyor. Böylece dosyanın alt kısmında gizlenen kötü amaçlı kod devreye giriyor. Dikkat çekici olan, bu işlemin Apple'ın Gatekeeper ve Terminal kısıtlamalarını aşarak çalışabilmesi. AppleScript, yalnızca Apple Silicon tabanlı Mac'lerde çalışacak şekilde tasarlanmış; Intel tabanlı Mac'lerde ise şifre çözme başarısız oluyor ve yazılım sonlanıyor.
İkinci aşamada ise Rust programlama diliyle yazılmış bir Mach-O ikili dosyası devreye giriyor. Kendini Finder uygulaması olarak gizleyen bu dosya, web tarayıcıları, kripto para cüzdan uzantıları, iCloud Anahtar Zinciri ve pano içeriğinden veri topluyor. Toplanan bilgiler şifrelenerek 'avenger-sync[.]live' adlı saldırgan sunucusuna gönderiliyor. Ayrıca, kullanıcıdan sistem şifresini isteyen sahte bir pencere açılıyor ve girilen şifre PAM API üzerinden doğrulanıyor. Doğrulama başarısız olursa, doğru şifre girilene kadar işlem tekrarlanıyor. Şifre ele geçirildikten sonra, kullanıcıya 'Maccy hasar gördü ve açılamıyor' şeklinde sahte bir hata mesajı gösterilerek dikkat dağıtılıyor.
Maccy geliştiricisi Alex Rodionov, kullanıcıları sahte sitelere karşı uyararak resmi web sitesinin yalnızca maccy[.]app olduğunu vurguladı. Jamf araştırmacıları, bu tür kötü amaçlı yazılımların giderek daha sessiz ve yerel uygulamalara benzer şekilde çalıştığını, geleneksel tespit yöntemlerini aştığını belirtiyor. Kullanıcıların yalnızca resmi kaynaklardan yazılım indirmesi, güvenlik yazılımlarını güncel tutması ve şüpheli bağlantılara tıklamaması önemle tavsiye ediliyor.