Uusi PamStealer-haittaohjelma kohdistaa macOS-laitteita
Tutkijat ovat löytäneet uuden macOS-haittaohjelman, PamStealerin, joka varastaa käyttäjien kirjautumistietoja hyödyntämällä Applen käyttöjärjestelmän autentikointimekanismeja.

Tutkijat ovat havainneet uudenlaisen macOS-haittaohjelman, joka on nimetty PamStealeriksi. Se yhdistää useita kehittyneitä tekniikoita Mac-tietokoneiden tartuttamiseksi ja salasanojen varastamiseksi hyökkääjän hallitsemille palvelimille. Haittaohjelman erikoisuutena on sen tapa käyttää Applen käyttöjärjestelmän omaa Pluggable Authentication Modules (PAM) -rajapintaa kirjautumistietojen validoimiseen ennen niiden lähettämistä eteenpäin.
PamStealerin levitys tapahtuu kahdessa vaiheessa. Ensimmäinen vaihe toimitetaan levykuvajatuksessa, joka naamioituu suosituksi Maccy-leikepöydän hallintaohjelmaksi. AppleScript-koodi levykuvajatuksessa on suunniteltu toimittamaan haittaohjelman toinen, varsinainen varasteluvaihe kohteeseen.
Vaikka levykuvien ja AppleScript-koodien käyttö on yleistä Mac-haittaohjelmissa, PamStealerin yhdistelmä näitä kahta tavoilla, jotka lisäävät sen huomaamattomuutta, on epätavallinen. Kun AppleScript-tiedosto avataan, haitallinen toiminnallisuus piilotetaan syvälle macOS:n Script Editor -sovellukseen, mikä vaikeuttaa sen havaitsemista.
PamStealerin Rust-kielellä kirjoitettu tiedonvarastaja käyttää PAM-rajapintaa, joka on sisäänrakennettu macOS:ään. Tämä mahdollistaa sen, että haittaohjelma voi tarkistaa kohdekäyttäjän antaman salasanan ennen sen lähettämistä hyökkääjän hallitsemille palvelimille. Kehittyneen tekniikan käyttö tekee PamStealerista huomattavan uhan Mac-käyttäjille.