Новий вірус PamStealer для macOS: як працює прихована крадіжка даних
06.07.26
Дослідники з Jamf Threat Labs виявили витончене шкідливе програмне забезпечення, націлене на користувачів macOS. Програма, що отримала назву PamStealer, використовує приховані механізми викрадення облікових даних та інших конфіденційних відомостей, успішно обходячи стандартні засоби захисту системи.
Що таке PamStealer
PamStealer – це вузькоспеціалізований інфостилер, особливість якого полягає у застосуванні унікальної тактики для потайного зараження комп’ютерів. На відміну від масових загроз, це наголошує на соціальній інженерії та використанні легітимних системних інтерфейсів для мінімізації виявлення захисним ПЗ.
Інфікування відбувається у два етапи. Спочатку поширюється образ диска, що мімікрує під популярний менеджер буфера обміну Maccy. У першому етапі використовується скрипт AppleScript, який запускає основний файл Mach-O, написаний мовою програмування Rust.
Особливості роботи та методи крадіжки паролів
Ключовою особливістю PamStealer є механізм взаємодії з користувачем другого етапу. Вірус виводить вікно, що копіює системний інтерфейс MacOS, з вимогою авторизації для роботи програми Maccy. Коли користувач вводить пароль, програма верифікує його через стандартний механізм Pluggable Authentication Modules (PAM).
На відміну від аналогів, PamStealer не використовує виклики таких інструментів як dscl, security або osascript, які зазвичай відстежуються антивірусними системами. Якщо введено неправильний пароль, вікно запитує його до переможного кінця. Після введення правильних даних вірус видає повідомлення про помилку встановлення, нібито файл пошкоджений – це психологічний трюк, який змушує користувача забути про інцидент.
Які дані викрадає PamStealer
Крім отримання доступу до пароля адміністратора або користувача, шкідливе програмне забезпечення виконує додаткові дії для крадіжки цифрових активів:
- Запит розширених прав (повний доступ до диска) для підробленої програми Maccy.
- Сканування системи на наявність криптографічних гаманців Ethereum та отримання контролю над ними.
Вдала архітектура «перехоплення через PAM» робить шкідливий процес максимально тихим, мінімізуючи підозрілу активність, видиму операційній системі.
Не пропустіть цікаве!
Підписуйтесь на наші канали та читайте анонси хай-тек новин, тестів та оглядів у зручному форматі!
Огляд смартфона Oppo A6 Pro: амбітний
Новий смартфон Oppo A6 Pro – середнячок з функціональністю смартфонів преміум-класу. Виробник наділив його кількома характеристиками, властивими більш дорожчим телефонам. Але не обійшлось і без компромісів. Як саме збалансований Oppo A6 Pro – розповімо в огляді.
Огляд навушників Sony WF-1000XM6: на всю потужність
Нові навушники Sony WF-1000XM6 дещо змінили форму в порівнянні з попередником, отримали новий процесор, покращену систему шумопоглинання, більше мікрофонів і загалом технічно здійснили помітний крок вперед
Logitech G представила ігрову мишу G305 X SUPERLIGHT та клавіатуру G316 X серії G3
Продажі Logitech G305 X SUPERLIGHT та Logitech G316 X 98 вже почалися на українському ринку. Обидві моделі пропонуються у двох варіантах оформлення – чорному та білому.
Як доставляти електроніку, гаджети та комплектуючі з Китаю: що варто врахувати до закупівлі
Що врахувати до закупівлі техніки з Китаю: вага, обʼєм, митниця, вибір між авіа й морською доставкою та розрахунок реальної собівартості товару.


