新しい macOS マルウェア PamStealer は巧妙な Tradecraft を使用してステルスを維持 – Slashdot


匿名の読者は、Technica の 3 月のレポートを引用しています。 研究者らは、Mac に感染する一連の巧妙なツールと、ステルスでカスタム開発された認証情報を盗むコードを組み合わせた、これまでに見たことのない macOS マルウェアを発見しました。マルウェアは 2 段階で配信されます。 1 つ目は、Mac コンピュータ用のクリップボード マネージャーである Maccy を装ったディスク イメージで配布されます。これは、2 番目のステップを提供する方法で注目に値する AppleScript としてコンパイルされています。このマルウェアは PamStealer と呼ばれます。これは、Rust によって作成された情報スティーラーが、macOS に組み込まれている Pluggable Authentication Modules インターフェイスを使用して、攻撃者が制御するサーバーに送信する前にターゲットのログイン パスワードを検証するためです。

[…] PamStealer は、システム許可リクエストに似たネイティブ パスワード リクエストを提示します。プロンプトとともに表示されるテキストは、「Maccy が変更を加えようとしています。有効にするにはパスワードを入力してください。」というものです。前述したように、ターゲットが一致すると、マルウェアは PAM API を通じてローカルで認証します。 「このチェックは完全に PAM 経由で行われます。多くの macOS 窃盗犯が行うような、パスワードを検証するための dscl、セキュリティ、osascript、または生成されたプロセスの呼び出しはありません。」 [said Jamf, a security firm for macOS users]。 「その結果、検証されたパスワードのみを保存する静かなルーチンが実現し、防御側が識別するためのプロセス チェーンが 1 つ減りました。」

認証が失敗した場合、PamStealer は正しいプロンプトを受信するまでプロンプトを再度表示します。ターゲットが正しいパスワードを入力すると、PamStealer はファイルが破損しているためインストールできないことを示すメッセージを表示します。これは、ターゲットが何かが間違っていると疑うことを防ぐためのおとりであることを目的としています。マルウェアは、盗める情報を最大限に増やす戦術を使用します。戦術の 1 つは、ターゲットに偽の Maccy アプリへのフルディスク アクセスを許可するよう依頼することです。 Web サイトのアカウントにアクセスするように設計されたコードも含まれています。さまざまな技術、特にスクリプト エディターのデコイ、スタンドアロンの JXA ドロッパー、Rust ベースの第 2 フェーズ、PAM を使用した証明書のローカル認証は注目に値します。



Source link

Leave a Reply

Your email address will not be published. Required fields are marked *