Siber güvenlik araştırmacıları, macOS işletim sistemini hedef alan yeni bir bilgi hırsızı olan PamStealer'ı ortaya çıkardı. Jamf Threat Labs tarafından keşfedilen bu zararlı yazılım, meşru bir açık kaynak pano yöneticisi olan Maccy uygulamasını taklit eden sahte bir web sitesi üzerinden dağıtılıyor. PamStealer adını, macOS'un Pluggable Authentication Modules (PAM) API'sini kullanarak kurbanın giriş parolasını doğrulama ve ardından çalma yeteneğinden alıyor.
Zararlı iki aşamalı bir saldırı gerçekleştiriyor. İlk aşamada, bir disk imajı içinde dağıtılan derlenmiş bir AppleScript dosyası (.scpt) bulunuyor. Bu dosya, ikinci aşama yükü indirmek ve hazırlamak için bir JavaScript for Automation (JXA) indiricisi çalıştırıyor. İkinci aşama ise Rust programlama diliyle yazılmış bir bilgi hırsızı olup, kimlik bilgilerini, tarayıcı verilerini, iCloud Keychain'i ve kripto para cüzdanlarını hedef alıyor. AppleScript, çalıştırılmadan önce sistemin Apple Silicon üzerinde çalıştığını doğruluyor; Intel tabanlı Mac'lerde ise şifre çözme başarısız oluyor ve zararlı sonlanıyor.
PamStealer'ın dikkat çeken bir özelliği, komut dosyasının Script Editor ile açıldığında, kullanıcıdan ⌘+R kısayolu veya Run butonuna tıklamasını istemesi. Bu sayede dosyanın altında gizlenen kötü amaçlı kod, Apple'ın Gatekeeper ve Terminal kontrollerini aşarak çalışıyor. Ayrıca zararlı, Doğu Avrupa ülkelerinden (Rusya, Belarus, Kazakistan vb.) gelen sistem saat dilimi ve klavye düzenlerini algılayarak bu ortamlarda çalışmayı durduruyor. Başarılı bir enfeksiyonda, Finder uygulaması gibi görünen Rust tabanlı ikinci aşama, kullanıcıdan tam dosya sistemi erişimi izni istiyor ve ardından sahte bir parola giriş penceresi gösteriyor.
Kullanıcının girdiği parola, PAM API aracılığıyla doğrulanıyor; yanlış parola girilirse süreç tekrarlanıyor. Doğru parola alındığında, zararlı sahte bir 'Maccy hasar gördü ve açılamıyor' uyarısı göstererek kullanıcıyı yanıltıyor. Bu sırada parola çalınmış ve kalıcılık sağlanmış oluyor. Maccy geliştiricisi Alex Rodionov, kullanıcıları sahte sitelere karşı uyarırken, Jamf araştırmacıları bu tür zararlıların giderek daha sessiz ve etkili yöntemler kullandığını belirtiyor.