🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética sinalizaram um novo ladrão de informações do macOS chamado PamStealer, que emprega uma série de truques inteligentes para infectar sistemas e desviar dados confidenciais.
O ladrão, descoberto pelo Jamf Threat Labs, é distribuído como um arquivo AppleScript (.scpt) compilado que se faz passar por Maccy, um gerenciador legítimo de área de transferência de código aberto. Ele recebeu o codinome PamStealer devido à sua capacidade de validar a senha de login da vítima por meio dos Módulos de Autenticação Plugáveis (PAM) do macOS antes de capturá-la.
O malware é entregue em dois estágios: Um AppleScript compilado distribuído dentro de uma imagem de disco projetada para baixar e preparar uma carga útil subsequente. O artefato secundário é um infostealer baseado em Rust, capaz de roubo de credenciais, coleta de dados do navegador, persistência e exfiltração.
O vetor de acesso inicial para o malware é um site semelhante ("maccyapp[.]com") que imita o Maccy ("maccy[.]app"). O AppleScript ("Maccy.scpt") presente na imagem do disco executa um downloader JavaScript for Automation (JXA) independente que busca e prepara a carga útil do ladrão usando APIs Objective-C nativas.
O que é notável aqui é que o script, uma vez iniciado através do Editor de Scripts, exibe instruções para executá-lo usando o atalho de teclado "⌘ + R" ou clicando no botão Executar do Editor de Scripts, fazendo com que a lógica maliciosa escondida no arquivo abaixo de um grande bloco de linhas vazias seja executada.
“Notavelmente, isso funciona mesmo quando o arquivo ainda carrega o atributo com.apple.quarantine, que é o que torna a abordagem atraente para os invasores, à medida que a Apple continua a reforçar o Gatekeeper e o Terminal”, disse o pesquisador de segurança Thijs Xhaflaire. “Combinado com um segundo estágio baseado em Rust e um fluxo de trabalho de captura de senha que valida credenciais localmente por meio do PAM, o resultado é uma cadeia de execução mais silenciosa do que normalmente observamos em ladrões de macOS comuns.”
O conta-gotas AppleScript incorpora recursos sensíveis ao ambiente que permitem que a execução continue somente após a impressão digital do host e determinar que ele está sendo executado no Apple Silicon. Ele faz isso derivando uma chave baseada na impressão digital, que inclui detalhes como arquitetura da CPU, localidade, layout do teclado e fuso horário, e depois usando-a para desbloquear uma configuração criptografada que contém o URL da carga útil e o caminho de instalação.
Em Macs baseados em Intel, a chave de descriptografia derivada difere e não consegue decodificar a configuração, resultando no encerramento do conta-gotas. O script também evita a execução em ambientes de área restrita ou de análise, bem como sistemas cujo fuso horário, localidade do sistema e entrada de teclado são resolvidos para países localizados na Europa Oriental, como Rússia, Bielorrússia, Cazaquistão, Armênia, Azerbaijão, Quirguistão, Moldávia, Tadjiquistão, Uzbequistão, Turcomenistão e Geórgia.
Depois que as verificações são aprovadas, o script chega ao servidor externo e baixa um binário Mach-O escrito em Rust que se disfarça como o aplicativo Finder e é responsável por coletar dados de navegadores da web, extensões de carteira de criptomoeda, iCloud Keychain e conteúdo da área de transferência. As informações capturadas são então criptografadas e exfiltradas para a infraestrutura controlada pelo invasor ("avenger-sync[.]live") por meio de uma solicitação HTTP de saída.
Além de coagir o usuário a conceder-lhe acesso total ao sistema de arquivos, o ladrão fornece um prompt de senha nativa que coleta a senha do sistema da vítima e, em seguida, valida a senha inserida por meio de verificação cruzada por meio da API do PAM. Se a validação falhar, ele solicitará que o usuário digite novamente a senha e repetirá o loop até que a senha correta seja fornecida.
"Depois que uma senha válida é capturada, o ladrão mostra um segundo alerta falsificado: 'Maccy está danificado e não pode ser aberto. Você deve movê-lo para o Lixo', uma cópia aproximada da mensagem genuína do Gatekeeper", disse Jamf. "Isso é uma isca. No momento em que aparece, o payload já foi executado, capturou a senha e foi registrado para persistência, então a mensagem serve apenas para fazer a vítima descartar a isca e presumir que o download foi quebrado."
Também integrado ao binário Rust está um pequeno arm64 Mach-O que representa as configurações do sistema do macOS e é usado para configurar a persistência.
O desenvolvimento levou Alex Rodionov, o desenvolvedor do Maccy, a incluir um aviso em seu site e no repositório GitHub, afirmando: "Cuidado com sites falsos que se fazem passar por Maccy. Sites maliciosos (como maccyapp[.]net e maccyapp[.]com) distribuem malware disfarçado de Maccy. maccy.app é o único site oficial."
“Juntos, esses comportamentos ilustram como os ladrões de commodities do macOS continuam a evoluir, adotando cadeias de execução mais silenciosas e implementações nativas que reduzem as oportunidades tradicionais de detecção, permanecendo compatíveis com os recursos padrão do macOS”, disse Jamf.
O ladrão, descoberto pelo Jamf Threat Labs, é distribuído como um arquivo AppleScript (.scpt) compilado que se faz passar por Maccy, um gerenciador legítimo de área de transferência de código aberto. Ele recebeu o codinome PamStealer devido à sua capacidade de validar a senha de login da vítima por meio dos Módulos de Autenticação Plugáveis (PAM) do macOS antes de capturá-la.
O malware é entregue em dois estágios: Um AppleScript compilado distribuído dentro de uma imagem de disco projetada para baixar e preparar uma carga útil subsequente. O artefato secundário é um infostealer baseado em Rust, capaz de roubo de credenciais, coleta de dados do navegador, persistência e exfiltração.
O vetor de acesso inicial para o malware é um site semelhante ("maccyapp[.]com") que imita o Maccy ("maccy[.]app"). O AppleScript ("Maccy.scpt") presente na imagem do disco executa um downloader JavaScript for Automation (JXA) independente que busca e prepara a carga útil do ladrão usando APIs Objective-C nativas.
O que é notável aqui é que o script, uma vez iniciado através do Editor de Scripts, exibe instruções para executá-lo usando o atalho de teclado "⌘ + R" ou clicando no botão Executar do Editor de Scripts, fazendo com que a lógica maliciosa escondida no arquivo abaixo de um grande bloco de linhas vazias seja executada.
“Notavelmente, isso funciona mesmo quando o arquivo ainda carrega o atributo com.apple.quarantine, que é o que torna a abordagem atraente para os invasores, à medida que a Apple continua a reforçar o Gatekeeper e o Terminal”, disse o pesquisador de segurança Thijs Xhaflaire. “Combinado com um segundo estágio baseado em Rust e um fluxo de trabalho de captura de senha que valida credenciais localmente por meio do PAM, o resultado é uma cadeia de execução mais silenciosa do que normalmente observamos em ladrões de macOS comuns.”
O conta-gotas AppleScript incorpora recursos sensíveis ao ambiente que permitem que a execução continue somente após a impressão digital do host e determinar que ele está sendo executado no Apple Silicon. Ele faz isso derivando uma chave baseada na impressão digital, que inclui detalhes como arquitetura da CPU, localidade, layout do teclado e fuso horário, e depois usando-a para desbloquear uma configuração criptografada que contém o URL da carga útil e o caminho de instalação.
Em Macs baseados em Intel, a chave de descriptografia derivada difere e não consegue decodificar a configuração, resultando no encerramento do conta-gotas. O script também evita a execução em ambientes de área restrita ou de análise, bem como sistemas cujo fuso horário, localidade do sistema e entrada de teclado são resolvidos para países localizados na Europa Oriental, como Rússia, Bielorrússia, Cazaquistão, Armênia, Azerbaijão, Quirguistão, Moldávia, Tadjiquistão, Uzbequistão, Turcomenistão e Geórgia.
Depois que as verificações são aprovadas, o script chega ao servidor externo e baixa um binário Mach-O escrito em Rust que se disfarça como o aplicativo Finder e é responsável por coletar dados de navegadores da web, extensões de carteira de criptomoeda, iCloud Keychain e conteúdo da área de transferência. As informações capturadas são então criptografadas e exfiltradas para a infraestrutura controlada pelo invasor ("avenger-sync[.]live") por meio de uma solicitação HTTP de saída.
Além de coagir o usuário a conceder-lhe acesso total ao sistema de arquivos, o ladrão fornece um prompt de senha nativa que coleta a senha do sistema da vítima e, em seguida, valida a senha inserida por meio de verificação cruzada por meio da API do PAM. Se a validação falhar, ele solicitará que o usuário digite novamente a senha e repetirá o loop até que a senha correta seja fornecida.
"Depois que uma senha válida é capturada, o ladrão mostra um segundo alerta falsificado: 'Maccy está danificado e não pode ser aberto. Você deve movê-lo para o Lixo', uma cópia aproximada da mensagem genuína do Gatekeeper", disse Jamf. "Isso é uma isca. No momento em que aparece, o payload já foi executado, capturou a senha e foi registrado para persistência, então a mensagem serve apenas para fazer a vítima descartar a isca e presumir que o download foi quebrado."
Também integrado ao binário Rust está um pequeno arm64 Mach-O que representa as configurações do sistema do macOS e é usado para configurar a persistência.
O desenvolvimento levou Alex Rodionov, o desenvolvedor do Maccy, a incluir um aviso em seu site e no repositório GitHub, afirmando: "Cuidado com sites falsos que se fazem passar por Maccy. Sites maliciosos (como maccyapp[.]net e maccyapp[.]com) distribuem malware disfarçado de Maccy. maccy.app é o único site oficial."
“Juntos, esses comportamentos ilustram como os ladrões de commodities do macOS continuam a evoluir, adotando cadeias de execução mais silenciosas e implementações nativas que reduzem as oportunidades tradicionais de detecção, permanecendo compatíveis com os recursos padrão do macOS”, disse Jamf.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pamstealer #usa #sites #falsos #do #maccy #e #verificações #pam #para #roubar #senhas #de #login #do #mac
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário