L'app per appunti di macOS Maccy ha un falso in circolazione che ruba le password.
Il malware PamStealer si sta travestendo da Maccy per colpire gli utenti Mac
Una versione falsa di Maccy, un popolare gestore di appunti per macOS, viene utilizzata per consegnare un nuovo ceppo di malware per Mac chiamato PamStealer. I ricercatori di Jamf affermano che il malware si spaccia per la vera app open-source, ma il suo scopo reale è rubare dati e catturare la password di accesso della vittima.
PamStealer arriva come un'immagine disco contenente un file AppleScript che si spaccia per Maccy. Una volta che l'utente apre quel file, macOS lo avvia in Script Editor, dove le istruzioni sullo schermo dicono di premere Command-R. Per qualcuno che si aspetta un normale installer di app, potrebbe sembrare un passaggio di configurazione strano. In realtà, quell'azione esegue codice malware nascosto e inizia l'attacco.
L'installer falso di Maccy dice agli utenti di premere Command-R o cliccare su Esegui Jamf
Un installer falso avvia l'attacco
La prima parte dell'attacco è progettata per rimanere silenziosa. Invece di utilizzare strumenti da riga di comando comuni per Mac che i team di sicurezza spesso monitorano, i ricercatori affermano che il malware utilizza le stesse funzionalità di automazione di Apple per scaricare e avviare la fase successiva.
Il payload si nasconde quindi all'interno di bundle di app che fingono di essere veri componenti di macOS. Jamf ha trovato campioni che si spacciavano per Finder o Aggiornamento Software. Questi componenti falsi funzionano in background e utilizzano l'icona di Finder di Apple, il che rende l'attacco più convincente.
Il prompt della password è il vero pericolo
Il trucco più preoccupante di PamStealer è il suo prompt per la password. Il malware mostra un dialogo nativo di Mac che dice che Maccy vuole apportare modifiche e chiede all'utente di inserire una password. La password viene controllata attraverso il sistema di verifica del login di macOS. Se è errata, il prompt appare di nuovo. Una volta inserita la password corretta, il malware la cattura e mostra un messaggio falso che dice che Maccy è danneggiato e non può essere aperto.
I ricercatori hanno anche scoperto che PamStealer può monitorare gli appunti, registrarsi per essere eseguito di nuovo dopo il login e successivamente chiedere l'accesso completo al disco. Nei test, quel prompt è apparso a volte fino a 40 minuti dopo, rendendo più difficile collegare la richiesta all'installer falso.
I canali ufficiali di Maccy stanno ora avvisando gli utenti riguardo ai siti web falsi, mentre li indirizzano a maccy.app come l'unico posto legittimo per ottenere l'app.
Altri articoli
L'app per appunti di macOS Maccy ha un falso in circolazione che ruba le password.
Gli utenti di Maccy sono stati avvertiti riguardo a siti falsi dopo che i ricercatori hanno trovato malware che utilizza il nome dell'app per rubare le password di accesso ai Mac.
