Новый троян для macOS проверяет пароли перед похищением данных

Вредонос маскируется под популярный буфер обмена Maccy

1 мин.
Новый троян для macOS проверяет пароли перед похищением данных

Специалисты по кибербезопасности из компании Jamf Threat Labs обнаружили новую вредоносную кампанию, нацеленную на пользователей компьютеров Apple. В центре внимания оказался стилер, получивший название PamStealer. Главная особенность этого вируса заключается в том, что он умеет проверять подлинность учётных данных до того, как начать полномасштабную кражу конфиденциальной информации. Это даёт злоумышленникам стопроцентную уверенность в том, что похищенные пароли действительно работают.

Вредоносная программа искусно маскируется под легитимный менеджер буфера обмена Maccy, используя связку из языка автоматизации AppleScript и полезной нагрузки, написанной на Rust. Когда вирус попадает на компьютер, он вызывает окно авторизации, которое внешне ничем не отличается от стандартного системного запроса macOS. Пользователя просят ввести пароль администратора якобы для того, чтобы разрешить программе внести необходимые изменения.

Вместо того чтобы просто записать введённые символы, PamStealer использует встроенную систему Apple — подключаемые модули аутентификации (Pluggable Authentication Modules). Вирус легально обращается к системному фреймворку, чтобы мгновенно подтвердить валидность пароля. Если пароль не подходит, вредонос может просто проигнорировать его, избегая накопления бесполезных данных.

Как только правильный пароль получен, в дело вступает вторая часть программы. Она начинает агрессивно собирать данные со скомпрометированного Mac: файлы cookie и историю просмотров из браузеров, сохранённые учётные данные, базы данных SQLite, содержимое буфера обмена и информацию о криптовалютных кошельках. Эксперты подчёркивают, что пользователям следует критически относиться к любым неожиданным запросам пароля администратора и внимательно проверять, каким программам выдаётся полный доступ к диску.

Мнение редакции

Ситуация с PamStealer снова разрушает давний миф о том, что компьютеры Mac — это неприступная крепость, для которой не существует вирусов. Злоумышленники становятся хитрее: они больше не пытаются взломать саму систему напролом, а используют механизмы социальной инженерии, заставляя пользователей добровольно отдавать ключи от всех дверей. Использование легитимных функций macOS для автоматической валидации украденных паролей — это элегантный, но по-настоящему пугающий ход.

Мы уверены, что осознанная цифровая гигиена сегодня спасает лучше любых системных экранов защиты. Привычка рефлекторно вводить пароль при появлении любого всплывающего окна может обойтись слишком дорого, особенно если на вашем устройстве хранятся доступы к корпоративным базам данных или криптокошелькам.

Мы в Telegram, на Дзен, в Google News и YouTube