Новый вирус PamStealer для macOS: как работает скрытая кража данных
06.07.26
Исследователи из Jamf Threat Labs обнаружили изощренное вредоносное ПО, нацеленное на пользователей macOS. Программа, получившая название PamStealer, использует скрытые механизмы для похищения учетных данных и других конфиденциальных сведений, успешно обходя стандартные средства защиты системы.
Что такое PamStealer
PamStealer — это узкоспециализированный инфостилер, особенность которого заключается в применении уникальной тактики для скрытного заражения компьютеров. В отличие от массовых угроз, это ПО делает акцент на социальной инженерии и использовании легитимных системных интерфейсов для минимизации обнаружения защитным ПО.
Инфицирование происходит в два этапа. Сначала распространяется образ диска, мимикрирующий под популярный менеджер буфера обмена Maccy. На первом этапе используется скрипт AppleScript, который запускает основной файл Mach-O, написанный на языке программирования Rust.
Особенности работы и методы кражи паролей
Ключевой особенностью PamStealer является механизм взаимодействия с пользователем на втором этапе. Вирус выводит окно, копирующее системный интерфейс macOS, с требованием авторизации для работы программы Maccy. Когда пользователь вводит пароль, программа верифицирует его через стандартный механизм Pluggable Authentication Modules (PAM).
В отличие от аналогов, PamStealer не использует вызовы таких инструментов как dscl, security или osascript, которые обычно отслеживаются антивирусными системами. Если введен неверный пароль, окно запрашивает его повторно до победного конца. После ввода правильных данных вирус выдает сообщение об ошибке установки, якобы файл поврежден — это психологический трюк, заставляющий пользователя забыть об инциденте.
Какие данные похищает PamStealer
Помимо получения доступа к паролю администратора или пользователя, вредоносное ПО выполняет дополнительные действия для кражи цифровых активов:
- Запрос расширенных прав (полный доступ к диску) для поддельного приложения Maccy.
- Сканирование системы на наличие криптографических кошельков Ethereum и получение контроля над ними.
Удачная архитектура «перехвата через PAM» делает вредоносный процесс максимально тихим, минимизируя подозрительную активность, видимую операционной системе.
Не пропустите интересное!
Підписывайтесь на наши каналы и читайте анонсы хай-тек новостей, тестов и обзоров в удобном формате!
Обзор смартфона Oppo A6 Pro: амбициозный
Новый смартфон Oppo A6 Pro — телефон среднего уровня с функциональностью смартфонов премиум-класса. Производитель наделил его множеством характеристик, присущих более дорогим телефонам. Но не обошлось и без компромиссов. Как именно сбалансирован Oppo A6 Pro – расскажем в обзоре.
Обзор наушников Sony WF-1000XM6: на всю мощность
Новые наушники Sony WF-1000XM6 несколько изменили форму по сравнению с предшественником, получили новый процессор, улучшенную систему шумопоглощения, больше микрофонов и в целом технически осуществили заметный шаг вперед.
Logitech G представила игровую мышь G305 X SUPERLIGHT и клавиатуру G316 X серии G3
Продажи Logitech G305 X SUPERLIGHT и Logitech G316 X 98 уже начались на украинском рынке. Обе модели предлагаются в двух вариантах оформления — черном и белом.
Новый вирус PamStealer для macOS: как работает скрытая кража данных
Специалисты по безопасности обнаружили вредоносное ПО PamStealer для macOS, которое маскируется под приложение Maccy.


