Em resumo
- Jamf Threat Labs identificou um novo infostealer macOS baseado em Rust se passando por gerenciador de área de transferência do Maccy.
- O malware valida as senhas das vítimas por meio do macOS PAM antes de roubá-las.
- Os pesquisadores também detectaram malware do tipo ClickFix entregue por meio de um anúncio patrocinado no X.
Os usuários de Mac que procuram o gerenciador de área de transferência de código aberto Maccy estão sendo alvo de uma versão falsa do aplicativo que instala um novo infostealer baseado em Rust chamado PamStealer, de acordo com a empresa de segurança cibernética Jamf Threat Labs. Se for bem-sucedido, o malware poderá roubar senhas e chaves de carteiras criptográficas dos usuários.
Em um relatório publicado na quinta-feira, o Jamf Threat Labs disse que a campanha usa um site semelhante para distribuir uma imagem de disco contendo um arquivo AppleScript malicioso chamado Maccy.scpt. Quando aberto, o arquivo exibe instruções solicitando aos usuários que o executem no Editor de Scripts da Apple, enquanto oculta o código malicioso mais abaixo no documento.
“Estamos rastreando esse malware sob o nome PamStealer após um de seus principais comportamentos: validar a senha de login da vítima por meio dos Módulos de Autenticação Plugáveis (PAM) do macOS antes de coletá-la”, escreveu Jamf Threat Labs.
A partir daí, o malware usa JavaScript para automação e APIs nativas do macOS para baixar uma carga útil de segundo estágio sem depender de utilitários de shell comuns, como curl ou zsh, reduzindo o número de processos que as ferramentas de segurança podem observar.
“Com muitos ladrões, vimos invasores comprando espaço de anúncios do Google para atrair usuários para o aplicativo malicioso. Recentemente, observamos anúncios maliciosos sendo hospedados no X também”, disse o diretor do Jamf Threat Labs, Jaron Bradley. Descriptografar. “Essas técnicas de engenharia social provaram ser altamente bem-sucedidas”.
De acordo com o relatório, o segundo estágio é um binário baseado em Rust projetado para Apple Silicon Macs que se disfarça como Finder ou Atualização de Software.
“Em vez de armazenar sua configuração em texto não criptografado, o dropper deriva uma chave de uma impressão digital do host – incluindo sua arquitetura de CPU, localidade, layout de teclado e fuso horário – e a usa para desbloquear uma configuração criptografada e com integridade verificada contendo o URL de carga útil e o caminho de instalação”, disse a empresa.
Uma vez instalado, o malware pode roubar credenciais do navegador e dados do Keychain, monitorar o conteúdo da área de transferência, estabelecer persistência e enviar informações roubadas para um servidor remoto de comando e controle usando comunicações criptografadas. Se não conseguir verificar se está sendo executado no alvo pretendido, ele se desligará silenciosamente.
O malware também tenta expandir seu acesso exibindo um alerta falso do Finder solicitando aos usuários que concedam acesso total ao disco. O prompt pode aparecer até 40 minutos após a infecção, tornando menos provável que os usuários o associem ao download original. Se aprovado, o malware pode acessar dados protegidos, incluindo backups de e-mail, mensagens e Time Machine.
De acordo com Bradley, Jamf não observou nenhuma evidência de que PamStealer esteja ativo na natureza; no entanto, a empresa notificou a Apple sobre suas descobertas. A Apple não respondeu imediatamente a um pedido de comentário de Descriptografar.
Jamf disse que está vendo técnicas semelhantes de engenharia social se espalharem para outras plataformas.
Em um X postagem na semana passada, a empresa disse que estava investigando um anúncio patrocinado no X promovendo DynamicLake que redirecionava os usuários para dynamicmacisland(.)com, onde foram instruídos a abrir o Terminal e executar um comando de instalação.
“O anúncio foi entregue por meio de uma conta X verificada, acrescentando outra camada de confiança à engenharia social”, escreveu a empresa. “A análise da carga revelou uma variante recente do Atomic (MacSync) Stealer.”
As descobertas surgem à medida que os invasores disfarçam cada vez mais o malware como software legítimo e abusam de plataformas de desenvolvedores e canais de publicidade confiáveis. Campanhas recentes incluíram um repositório OpenAI falso que alcançou o topo dos projetos de tendência do Hugging Face antes de distribuir um infostealer baseado em Rust, uma extensão maliciosa do Visual Studio Code que o GitHub disse ter exposto cerca de 3.800 repositórios internos e a campanha da cadeia de suprimentos de software Shai-Hulud visando ferramentas de desenvolvimento usadas por empresas de IA, incluindo OpenAI e Mistral AI.
Resumo Diário Boletim informativo
Comece cada dia com as principais notícias do momento, além de recursos originais, podcast, vídeos e muito mais.
Fontedecrypt



