I ricercatori dei Jamf Threat Labs hanno individuato un nuovo infostealer per macOS con funzionalità più avanzate rispetto a simili malware. PamStealer viene distribuito tramite una versione fasulla di Maccy (noto clipboard manager) e sfrutta l’interfaccia PAM (Pluggable Authentication Modules) del sistema operativo per validare la password dell’utente prima di inviarla al server remoto.
Maccy + PAM per rubare i dati
La catena di infezione inizia con una versione fasulla di Maccy distribuita tramite immagine DMG. Al suo interno c’è il file Maccy.scpt. Quando eseguito nello Script Editor di macOS, un downloader JXA (JavaScript for Automation) viene mascherato come app di sistema (icona compresa), quindi l’utente non nota nulla di strano. Non appare nessuna finestra o icona nel Dock.
Successivamente viene scaricato un eseguibile Mach-O, scritto in linguaggio Rust (invece di più comuni Objective-C, Go e Swift), che rappresenta il secondo stadio dell’infezione, ovvero PamStealer. L’infostealer può leggere direttamente i file SQLite, accedere alla keychain e intercettare il contenuto degli appunti (clipboard).
Il nome del malware indica la tecnica usata per rubare le password. L’ignara vittima vede un prompt per l’inserimento della password identico a quello mostrato da macOS quando è necessario chiedere un’autorizzazione. Invece di inviare subito la password al server remoto utilizza le API PAM (Pluggable Authentication Modules) per controllare la sua validità. Se la verifica fallisce viene mostrato un nuovo prompt.
Quando l’utente inserisce la password corretta viene visualizzato un messaggio di errore che indica l’impossibilità di installare la versione fasulla di Maccy perché il file è danneggiato. Dopo un certo intervallo di tempo, PamStealer chiede anche i permessi di accesso al disco, quindi può accedere a tutti i dati delle app. Può infine accedere ai wallet di criptovalute.
I ricercatori dei Jamf Threat Labs hanno evidenziato che gli infostealer per macOS sono diventati più avanzati e consentono di rubare diversi dati sensibili rimanendo praticamente invisibili.