Jamf Threat Labs identifiziert PamStealer-Malware, die sich als Maccy-App tarnt

Jamf Threat Labs hat einen neuen Rust-basierten macOS-Infostealer namens PamStealer identifiziert, der sich als der Open-Source-Zwischenablage-Manager Maccy ausgibt. In einem am Donnerstag veröffentlichten Bericht erklärte das Cybersicherheitsunternehmen, dass die Kampagne eine gefälschte Website nutzt, um eine schädliche AppleScript-Datei zu verbreiten, die Passwörter und Krypto-Wallet-Schlüssel von Mac-Nutzern stehlen kann. Die Malware validiert die Anmeldekennwörter der Opfer über die macOS Pluggable Authentication Modules (PAM), bevor sie diese erntet, so Jamf Threat Labs. Die Entdeckung spiegelt einen breiteren Trend wider, bei dem Angreifer Malware als legitime Software tarnen und vertrauenswürdige Entwicklerplattformen und Werbekanäle missbrauchen.

Jamf Threat Labs entdeckt Verteilungsmethode von PamStealer

Laut Jamf Threat Labs nutzt die Kampagne eine nachgeahmte Website, um ein Datenträgerabbild zu verbreiten, das eine schädliche AppleScript-Datei namens Maccy.scpt enthält. Beim Öffnen zeigt die Datei Anweisungen an, die Benutzer auffordern, sie im Apple Script Editor auszuführen, während der schädliche Code weiter unten im Dokument versteckt ist.

„Wir verfolgen diese Malware unter dem Namen PamStealer aufgrund eines ihrer Kernverhalten: Validierung des Anmeldekennworts des Opfers über die macOS Pluggable Authentication Modules (PAM), bevor es geerntet wird", schrieb Jamf Threat Labs in dem Bericht.

Jamf Threat Labs Director Jaron Bradley sagte gegenüber Decrypt, dass Angreifer Google-Anzeigenplatz kaufen, um Nutzer zu bösartigen Apps zu locken. „Wir haben kürzlich beobachtet, dass auch auf X bösartige Anzeigen geschaltet werden", sagte Bradley. „Diese Social-Engineering-Techniken haben sich als äußerst erfolgreich erwiesen."

PamStealer setzt fortschrittliche Umgehungstechniken ein

Die Malware verwendet JavaScript for Automation und native macOS-APIs, um eine zweite Stufe der Nutzlast herunterzuladen, ohne auf gängige Shell-Dienstprogramme wie curl oder zsh zurückzugreifen, wodurch die Anzahl der Prozesse reduziert wird, die Sicherheitstools beobachten können.

Laut dem Bericht handelt es sich bei der zweiten Stufe um ein Rust-basiertes Binärprogramm, das für Apple Silicon Macs entwickelt wurde und sich als Finder oder Software Update tarnt. „Anstatt seine Konfiguration im Klartext zu speichern, leitet der Dropper einen Schlüssel aus einem Fingerabdruck des Hosts ab – einschließlich seiner CPU-Architektur, des Gebietsschemas, des Tastaturlayouts und der Zeitzone – und verwendet ihn, um eine verschlüsselte, auf Integrität geprüfte Konfiguration zu entsperren, die die Payload-URL und den Installationspfad enthält", so das Unternehmen.

Kann die Malware nicht überprüfen, ob sie auf ihrem beabsichtigten Ziel läuft, schaltet sie sich leise ab.

Zu den Fähigkeiten der Malware gehören Diebstahl von Anmeldeinformationen und Persistenz

Nach der Installation kann die Malware Browser-Anmeldeinformationen und Keychain-Daten stehlen, den Inhalt der Zwischenablage überwachen, Persistenz herstellen und gestohlene Informationen mithilfe verschlüsselter Kommunikation an einen entfernten Command-and-Control-Server senden.

Die Malware versucht, ihren Zugriff zu erweitern, indem sie eine gefälschte Finder-Warnung anzeigt, die Benutzer auffordert, den Vollzugriff auf die Festplatte zu gewähren. Die Aufforderung kann bis zu 40 Minuten nach der Infektion erscheinen, was es unwahrscheinlicher macht, dass Benutzer sie mit dem ursprünglichen Download in Verbindung bringen. Bei Genehmigung kann die Malware auf geschützte Daten zugreifen, einschließlich Mail, Nachrichten und Time Machine-Backups.

Laut Bradley hat Jamf keine Hinweise darauf gefunden, dass PamStealer aktiv im Umlauf ist. Das Unternehmen informierte Apple über seine Erkenntnisse. Apple reagierte nicht sofort auf eine Anfrage von Decrypt um einen Kommentar.

Jamf identifiziert verwandte Kampagne auf der X-Plattform

Jamf gab an, dass ähnliche Social-Engineering-Techniken auf andere Plattformen übergreifen. In einem X-Beitrag letzte Woche teilte das Unternehmen mit, dass es eine gesponserte Anzeige auf X untersuchte, die für DynamicLake warb und Benutzer auf dynamicmacisland[.]com umleitete, wo sie aufgefordert wurden, Terminal zu öffnen und einen Installationsbefehl auszuführen.

„Die Anzeige wurde über ein verifiziertes X-Konto ausgeliefert, was dem Social Engineering eine weitere Vertrauensebene verleiht", schrieb das Unternehmen. „Die Analyse der Nutzlast ergab eine aktuelle Atomic (MacSync) Stealer-Variante."

Entdeckung spiegelt breiteren Malware-Trend wider

Die Ergebnisse kommen zu einer Zeit, in der Angreifer zunehmend Malware als legitime Software tarnen und vertrauenswürdige Entwicklerplattformen und Werbekanäle missbrauchen. Zu den jüngsten Kampagnen gehören ein gefälschtes OpenAI-Repository, das die Spitze der Trending-Projekte von Hugging Face erreichte, bevor es einen Rust-basierten Infostealer verbreitete, eine bösartige Visual Studio Code-Erweiterung, die laut GitHub rund 3.800 interne Repositorys offenlegte, und die Shai-Hulud-Software-Supply-Chain-Kampagne, die auf Entwicklungstools abzielt, die von KI-Unternehmen wie OpenAI und Mistral AI verwendet werden.

FAQ

Was ist die PamStealer-Malware und wie zielt sie auf Mac-Nutzer ab?

PamStealer ist ein von Jamf Threat Labs identifizierter Rust-basierter macOS-Infostealer, der sich als der Open-Source-Zwischenablage-Manager Maccy ausgibt. Die Malware wird über eine gefälschte Website verbreitet, die eine schädliche AppleScript-Datei ausliefert. Sie validiert die Anmeldekennwörter der Opfer über die macOS Pluggable Authentication Modules (PAM), bevor sie Browser-Anmeldeinformationen, Keychain-Daten stiehlt und den Inhalt der Zwischenablage überwacht.

Wie vermeidet PamStealer die Erkennung durch Sicherheitstools?

Laut Jamf Threat Labs verwendet PamStealer JavaScript for Automation und native macOS-APIs, um eine zweite Stufe der Nutzlast herunterzuladen, ohne auf gängige Shell-Dienstprogramme wie curl oder zsh zurückzugreifen, wodurch die Anzahl der Prozesse reduziert wird, die Sicherheitstools beobachten können. Die Malware leitet außerdem einen Schlüssel aus dem Fingerabdruck des Hosts ab, um eine verschlüsselte Konfiguration zu entsperren, und schaltet sich ab, wenn sie nicht überprüfen kann, dass sie auf ihrem beabsichtigten Ziel läuft.

Hat Jamf beobachtet, dass PamStealer in aktiven Angriffen eingesetzt wird?

Laut Jamf Threat Labs Director Jaron Bradley hat Jamf keine Hinweise darauf gefunden, dass PamStealer aktiv im Umlauf ist. Das Unternehmen informierte Apple über seine Erkenntnisse, Apple reagierte jedoch nicht sofort auf eine Anfrage von Decrypt um einen Kommentar.

Disclaimer: The information on this page may come from third-party sources and is for reference only. It does not represent the views or opinions of Gate and does not constitute any financial, investment, or legal advice. Virtual asset trading involves high risk. Please do not rely solely on the information on this page when making decisions. For details, see the Disclaimer.
Kommentieren
0/400
Keine Kommentare