Приложение для буфера обмена macOS Maccy имеет подделку, которая крадет пароли.
PamStealer вредоносное ПО маскируется под Maccy, чтобы нацелиться на пользователей Mac
Поддельная версия Maccy, популярного менеджера буфера обмена для macOS, используется для доставки недавно обнаруженного вредоносного ПО для Mac под названием PamStealer. Исследователи из Jamf сообщают, что вредоносное ПО выдает себя за настоящее приложение с открытым исходным кодом, но его истинная цель — украсть данные и захватить пароль для входа жертвы.
PamStealer приходит в виде образа диска, содержащего файл AppleScript, который выдает себя за Maccy. Как только пользователь открывает этот файл, macOS запускает его в Script Editor, где на экране появляются инструкции, которые говорят нажать Command-R. Для кого-то, кто ожидает обычный установщик приложения, это может показаться странным шагом настройки. На самом деле это действие запускает скрытый код вредоносного ПО и начинает атаку.
Поддельный установщик Maccy говорит пользователям нажать Command-R или нажать Запустить Jamf
Поддельный установщик начинает атаку
Первая часть атаки предназначена для того, чтобы оставаться незамеченной. Вместо использования общих инструментов командной строки Mac, за которыми часто следят команды безопасности, исследователи утверждают, что вредоносное ПО использует собственные функции автоматизации Apple для загрузки и запуска следующего этапа.
Затем полезная нагрузка скрывается внутри пакетов приложений, которые притворяются настоящими компонентами macOS. Jamf нашел образцы, выдающие себя за Finder или Обновление ПО. Эти поддельные компоненты работают в фоновом режиме и используют значок Finder от Apple, что делает атаку более убедительной.
Настройка MacBook Air M5 Moinak Pal/Digital Trends
Запрос пароля — настоящая опасность
Самый тревожный трюк PamStealer — это его запрос пароля. Вредоносное ПО показывает диалоговое окно, выглядящее как родное для Mac, с сообщением, что Maccy хочет внести изменения, и просит пользователя ввести пароль. Пароль проверяется через собственную систему проверки входа macOS. Если он неверный, запрос появляется снова. Как только введен правильный пароль, вредоносное ПО захватывает его и показывает поддельное сообщение, что Maccy поврежден и не может быть открыт.
Исследователи также обнаружили, что PamStealer может следить за буфером обмена, регистрироваться для повторного запуска после входа в систему и позже запрашивать полный доступ к диску. В ходе тестирования этот запрос иногда появлялся до 40 минут спустя, что усложняло связь запроса с поддельным установщиком.
Официальные каналы Maccy теперь предупреждают пользователей о поддельных веб-сайтах, указывая на maccy.app как на единственное законное место для получения приложения.
Другие статьи
Приложение для буфера обмена macOS Maccy имеет подделку, которая крадет пароли.
Пользователям Maccy поступают предупреждения о поддельных сайтах после того, как исследователи обнаружили вредоносное ПО, использующее имя приложения для кражи паролей для входа в Mac.
