PamStealer, Mac Oturum Açma Parolalarını Çalmak İçin Sahte Maccy Siteleri ve PAM Kontrolleri Kullanıyor Yazılım

PamStealer, Mac Oturum Açma Parolalarını Çalmak İçin Sahte Maccy Siteleri ve PAM Kontrolleri Kullanıyor

Siber güvenlik araştırmacıları, sistemlere virüs bulaştırmak ve hassas verileri ele geçirmek için bir dizi akıllı hile kullanan PamStealer adlı yeni b...

Siber güvenlik araştırmacıları, sistemlere virüs bulaştırmak ve hassas verileri ele geçirmek için bir dizi akıllı hile kullanan PamStealer adlı yeni bir macOS bilgi hırsızını işaretledi.

Jamf Threat Labs tarafından keşfedilen hırsız, meşru bir açık kaynak pano yöneticisi olan Maccy'nin kimliğine bürünen derlenmiş bir AppleScript (.scpt) dosyası olarak dağıtılıyor. Kurbanın oturum açma parolasını yakalamadan önce macOS Takılabilir Kimlik Doğrulama Modülleri (PAM) aracılığıyla doğrulama yeteneği nedeniyle kod adı PamStealer olarak adlandırıldı.

Kötü amaçlı yazılım iki aşamada teslim edilir: Bir takip yükünü indirmek ve hazırlamak için tasarlanmış bir disk görüntüsünün içine dağıtılan derlenmiş bir AppleScript. İkincil yapı, kimlik bilgileri hırsızlığı, tarayıcı verisi toplama, kalıcılık ve sızma yapabilen Rust tabanlı bir bilgi hırsızıdır.

Kötü amaçlı yazılımın ilk erişim vektörü, Maccy'yi ("maccy[.]app") taklit eden benzer bir sitedir ("maccyapp[.]com"). Disk görüntüsünde bulunan AppleScript ("Maccy.scpt"), yerel Objective-C API'lerini kullanarak hırsız yükünü getiren ve hazırlayan bağımsız bir Otomasyon için JavaScript (JXA) indiricisini çalıştırır.

Sistem Güvenliği

Burada dikkate değer olan şey, betiğin, Betik Düzenleyici aracılığıyla başlatıldığında, "⌘ + R" klavye kısayolunu kullanarak veya Betik Düzenleyicideki Çalıştır düğmesini tıklatarak onu çalıştırmaya yönelik talimatları görüntülemesi ve büyük bir boş satır bloğunun altındaki dosyada gizlenen kötü amaçlı mantığın yürütülmesine neden olmasıdır.

Uzmanların Görüşleri

Güvenlik araştırmacısı Thijs Xhaflaire, "Bu özellikle dosya hala com.apple.quarantine özelliğini taşıdığında bile işe yarıyor; Apple Gatekeeper ve Terminal'i sıkılaştırmaya devam ederken bu yaklaşımı saldırganlar için çekici kılan da bu." dedi. "Rust tabanlı ikinci aşama ve kimlik bilgilerini PAM aracılığıyla yerel olarak doğrulayan bir parola yakalama iş akışıyla birleştiğinde sonuç, genel olarak ticari macOS hırsızlarında gözlemlediğimizden daha sessiz bir yürütme zinciridir."

AppleScript damlalığı, yürütmenin yalnızca ana bilgisayarın parmak izini aldıktan ve Apple Silicon üzerinde çalıştığını belirledikten sonra devam etmesine olanak tanıyan çevreye duyarlı özellikler içerir. Bunu, CPU mimarisi, yerel ayar, klavye düzeni ve saat dilimi gibi ayrıntıları içeren parmak izine dayalı bir anahtar türeterek ve ardından bunu yük URL'sini ve yükleme yolunu içeren şifrelenmiş bir yapılandırmanın kilidini açmak için kullanarak yapar.

Nasıl Önlem Alınmalı?

Intel tabanlı Mac'lerde, türetilmiş şifre çözme anahtarı farklıdır ve yapılandırmanın kodunu çözemez, bu da damlalığın sonlandırılmasına neden olur. Komut dosyası ayrıca korumalı alan veya analiz ortamlarının yanı sıra saat dilimi, sistem yerel ayarı ve klavye girişi Rusya, Belarus, Kazakistan, Ermenistan, Azerbaycan, Kırgızistan, Moldova, Tacikistan, Özbekistan, Türkmenistan ve Gürcistan gibi Doğu Avrupa'da bulunan ülkelere çözümlenen sistemlerde yürütmeyi de önler.

Kontroller geçtikten sonra, komut dosyası harici sunucuya ulaşır ve Rust'ta yazılmış, Finder uygulaması gibi görünen ve web tarayıcılarından, kripto para birimi cüzdan uzantılarından, iCloud Anahtar Zincirinden ve pano içeriğinden veri toplamaktan sorumlu olan bir Mach-O ikili dosyasını indirir. Yakalanan bilgiler daha sonra şifrelenir ve giden bir HTTP isteği üzerinden saldırgan tarafından kontrol edilen altyapıya ("avenger-sync[.]live") sızdırılır.

Hırsız, kullanıcıyı tam dosya sistemi erişimi vermeye zorlamanın yanı sıra, kurbanın sistem şifresini toplayan yerel bir şifre istemi sunar ve ardından girilen şifreyi PAM API aracılığıyla çapraz kontrol ederek doğrular. Doğrulama başarısız olursa kullanıcıdan şifreyi yeniden girmesini ister ve doğru şifre sağlanana kadar döngüyü tekrarlar.

Jamf, "Geçerli bir şifre ele geçirildiğinde, hırsız ikinci bir sahte uyarı gösteriyor: 'Maccy hasar gördü ve açılamıyor. Onu Çöp Kutusu'na taşımalısınız', bu orijinal Gatekeeper mesajının yakın bir kopyası." dedi. "Bu bir tuzak. Ortaya çıktığı zaman, yük zaten çalışmış, şifreyi ele geçirmiş ve kalıcılık için kaydolmuş oluyor; yani mesaj yalnızca kurbanın yemi atmasını ve indirme işleminin bozulduğunu varsaymasını sağlamaya hizmet ediyor."

Sonuç ve Değerlendirme

Ayrıca Rust ikili dosyasında, macOS Sistem Ayarlarını taklit eden ve kalıcılığı ayarlamak için kullanılan küçük bir arm64 Mach-O bulunur.

Bu gelişme, Maccy'nin geliştiricisi Alex Rodionov'u web sitelerine ve GitHub deposuna, kullanıcıları aracı taklit eden sahte web sitelerinden uzak durmaya çağıran bir uyarı eklemeye sevk etti. "Maccy'yi taklit eden sahte web sitelerine karşı dikkatli olun. Kötü amaçlı siteler (macccyapp[.]net ve maccyapp[.]com gibi), Ma olarak gizlenen kötü amaçlı yazılımları dağıtır. ccy. Rodionov, "Maccy[.]app tek resmi web sitesidir" dedi.

Önemli Gelişmeler

Jamf, "Bu davranışlar, ticari macOS hırsızlarının nasıl gelişmeye devam ettiğini, daha sessiz yürütme zincirlerini ve geleneksel tespit fırsatlarını azaltan ve aynı zamanda standart macOS özellikleriyle uyumlu kalan yerel uygulamaları benimsediğini gösteriyor" dedi.

Paylaş: