Një program i ri keqdashës për macOS, i quajtur PamStealer, po përdoret për të vjedhur fjalëkalime dhe çelësa të portofolëve kriptografikë. Sipas kompanisë së sigurisë kibernetike Jamf Threat Labs, ky malware maskohet si versioni i aplikacionit të njohur për menaxhimin e clipboard-it, Maccy.
Kur hapet, skedari shfaq udhëzime për t'u ekzekutuar në "Script Editor" të Apple, ndërsa kodi keqdashës mbetet i fshehur në dokument. Malware-i e ka marrë emrin nga mënyra se si validon fjalëkalimin e përdoruesit përmes moduleve të autentifikimit (PAM) të macOS përpara se ta vjedhë atë.
Pasi instalohet, PamStealer përdor JavaScript for Automation dhe API-të vendore të macOS për të shkarkuar një komponent të dytë, i cili është një binar i ndërtuar me gjuhën Rust për pajisjet me Apple Silicon. Ky komponent maskohet si "Finder" ose si një përditësim softuerik. Për të shmangur zbulimin, ai përdor një konfigurim të enkriptuar që zhbllokohet vetëm pasi verifikon parametrat specifikë të pajisjes së viktimës.
Malware-i ka aftësinë të vjedhë kredencialet e shfletuesve dhe të dhënat e Keychain-it, si dhe të monitorojë përmbajtjen e clipboard-it. Ky njoftim mund të shfaqet deri në 40 minuta pas infektimit, duke e bërë më të vështirë për përdoruesit që ta lidhin atë me shkarkimin fillestar.
Jaron Bradley, drejtor në Jamf Threat Labs, theksoi se këto teknika të inxhinierisë sociale, të cilat përfshijnë edhe blerjen e hapësirave reklamuese në platforma si Google dhe X, kanë rezultuar shumë efektive. Megjithatë, kompania deklaroi se nuk ka prova që PamStealer është aktiv në shkallë të gjerë. Jamf ka njoftuar Apple për këto gjetje, ndërsa Apple nuk ka kthyer ende një përgjigje zyrtare.
Burimi: decrypt.co
