PamStealer Tehlikesi: Sahte Maccy Siteleriyle Mac Şifrelerinizi Çalıyor Windows

PamStealer Tehlikesi: Sahte Maccy Siteleriyle Mac Şifrelerinizi Çalıyor

PamStealer, sahte Maccy sitesiyle bulaşarak PAM üzerinden şifre doğrulaması yapıyor ve Mac kullanıcılarının hassas verilerini çalıyor.

Siber güvenlik araştırmacıları, macOS işletim sistemini hedef alan yeni bir bilgi hırsızı olan PamStealer'ı tespit etti. Jamf Threat Labs tarafından keşfedilen bu zararlı yazılım, meşru bir açık kaynak pano yöneticisi olan Maccy'yi taklit eden bir disk imajı içinde derlenmiş AppleScript dosyası olarak dağıtılıyor. PamStealer adını, macOS'un Takılabilir Kimlik Doğrulama Modülleri (PAM) aracılığıyla kurbanın giriş şifresini doğrulama yeteneğinden alıyor.

Zararlı yazılım iki aşamalı olarak çalışıyor: İlk aşamada, Maccy'yi taklit eden sahte bir site (maccyapp[.]com) üzerinden indirilen disk imajı içindeki AppleScript, ikinci aşama yükü indirmek için bir JXA indirici çalıştırıyor. Bu ikinci aşama, Rust tabanlı bir bilgi hırsızı olup kimlik bilgilerini, tarayıcı verilerini, iCloud Anahtar Zinciri'ni ve kripto para cüzdan uzantılarını hedef alıyor. İlginç bir şekilde, AppleScript, Script Editor'da çalıştırılmak üzere tasarlanmış ve kullanıcıdan ⌘+R kısayolunu kullanmasını isteyerek kötü amaçlı kodu çalıştırıyor.

PamStealer'ın dikkat çekici bir özelliği, yalnızca Apple Silicon işlemcili Mac'lerde çalışacak şekilde tasarlanmış olması. Intel tabanlı Mac'lerde şifre çözme başarısız oluyor ve zararlı yazılım çalışmıyor. Ayrıca, Doğu Avrupa ülkelerinden (Rusya, Belarus, Kazakistan vb.) gelen kullanıcıları hedef almamak için konum ve dil ayarlarını kontrol ediyor. Şifre çalma işlemi ise PAM API'si kullanılarak yapılıyor; kullanıcıya sahte bir şifre girişi penceresi gösteriliyor ve girilen şifre PAM ile doğrulanıyor. Doğru şifre girildiğinde, kullanıcıya 'Maccy hasar gördü ve açılamıyor' gibi sahte bir hata mesajı gösterilerek dikkati dağıtılıyor.

Maccy'nin geliştiricisi Alex Rodionov, kullanıcıları sahte sitelere karşı uyararak resmi sitenin yalnızca maccy[.]app olduğunu belirtti. Bu tür saldırılardan korunmak için kullanıcıların yazılımları yalnızca resmi kaynaklardan indirmeleri, şifre girişi isteyen beklenmedik pencerelere karşı dikkatli olmaları ve güvenlik yazılımlarını güncel tutmaları öneriliyor.

Paylaş: