Siber güvenlik araştırmacıları, macOS sistemlerini hedef alan ve PamStealer adı verilen yeni bir bilgi hırsızı tespit etti. Jamf Threat Labs tarafından keşfedilen bu zararlı yazılım, meşru bir açık kaynak pano yöneticisi olan Maccy'yi taklit eden sahte bir web sitesi üzerinden dağıtılıyor. PamStealer, macOS'un Takılabilir Kimlik Doğrulama Modülleri (PAM) aracılığıyla kurbanın giriş parolasını doğrulayarak çalma yeteneği nedeniyle bu adı almıştır.
Zararlı yazılım iki aşamalı olarak çalışıyor: İlk aşamada, bir disk görüntüsü içinde derlenmiş bir AppleScript (.scpt) dosyası bulunuyor. Bu dosya, ikinci aşama yükü indirip çalıştırmak üzere tasarlanmış bir JXA (JavaScript for Automation) indiricisi içeriyor. İkinci aşama ise, kimlik bilgilerini, tarayıcı verilerini, iCloud Anahtar Zinciri'ni ve kripto para cüzdanı uzantılarını çalan Rust tabanlı bir infostealer. PamStealer, yalnızca Apple Silicon işlemcili Mac'lerde çalışacak şekilde tasarlanmış; Intel tabanlı Mac'lerde ise şifre çözme başarısız oluyor ve yük çalışmıyor.
Kullanıcıları kandırmak için sahte Maccy sitesi (maccyapp[.]com) kullanılıyor. AppleScript dosyası, Script Editor ile açıldığında kullanıcıya '⌘ + R' kısayolu veya Run butonuna tıklaması talimatını veriyor. Bu işlem, dosyadaki boş satırların altında gizlenmiş kötü amaçlı kodu çalıştırıyor. Araştırmacı Thijs Xhaflaire, bu yöntemin Apple'ın Gatekeeper ve Terminal kısıtlamalarını aşmak için cazip olduğunu belirtiyor. Ayrıca, zararlı yazılım Doğu Avrupa ülkelerindeki sistemlerde çalışmayarak hedef seçimini daraltıyor.
Önemli Gelişmeler
PamStealer, kullanıcıdan tam dosya sistemi erişimi izni almasının ardından, sahte bir sistem parolası istemi gösteriyor. Girilen parolayı PAM API aracılığıyla doğruluyor ve doğru parola girilene kadar döngüyü tekrarlıyor. Parola ele geçirildikten sonra, 'Maccy hasar görmüş ve açılamıyor' şeklinde sahte bir uyarı göstererek kurbanı yanıltıyor. Ayrıca, kalıcılık sağlamak için macOS Sistem Ayarları'nı taklit eden bir Mach-O ikili dosyası kullanıyor. Maccy geliştiricisi Alex Rodionov, kullanıcıları sahte sitelere karşı uyarırken, Jamf Threat Labs bu tür zararlı yazılımların giderek daha sessiz ve karmaşık hale geldiğini vurguluyor.