
Los investigadores de ciberseguridad han emitido una advertencia sobre un nuevo ladrón de información de macOS llamado PamStealer que utiliza una serie de técnicas sofisticadas para infectar sistemas y desviar datos confidenciales.
Descubierto por Jamf Threat Labs, este ladrón se hace pasar por Maccy, un administrador de portapapeles legítimo de código abierto, y se distribuye como un archivo compilado AppleScript (.scpt). Tiene el nombre en código PamStealer debido a su capacidad para verificar las contraseñas de inicio de sesión de las víctimas a través de los módulos de autenticación conectables (PAM) de macOS antes de capturarlas.
Este malware se entrega en dos etapas. El AppleScript compilado se distribuye dentro de una imagen de disco diseñada para descargar y organizar cargas útiles posteriores. El segundo artefacto es un ladrón de información basado en Rust que puede robar credenciales, recopilar, conservar y filtrar datos del navegador.
El vector de acceso inicial del malware es un sitio similar («maccyapp(.)com») que imita a Maccy («maccy(.)app»). Un AppleScript («Maccy.scpt») presente dentro de la imagen del disco ejecuta un descargador de JavaScript para automatización (JXA) autónomo que utiliza API nativas de Objective-C para recuperar y preparar la carga útil del ladrón.
Lo que es interesante tener en cuenta aquí es que cuando el script se inicia a través del editor de scripts, le solicita que lo ejecute usando el método abreviado de teclado «⌘ + R» o haciendo clic en el botón (Ejecutar) del editor de scripts, que ejecuta la lógica maliciosa oculta debajo de grandes bloques de líneas vacías dentro del archivo.
«En particular, esto funciona incluso si el archivo contiene el atributo com.apple.quarantine, que es lo que hace que este enfoque sea atractivo para los atacantes mientras Apple continúa reforzando sus guardianes y terminales», dijo el investigador de seguridad Thijs Xhaflaire. «La combinación de una segunda etapa basada en Rust y un flujo de trabajo de captura de contraseñas que valida las credenciales localmente a través de PAM da como resultado una cadena de ejecución más silenciosa que la que normalmente se observa en los ladrones típicos de macOS».
El cuentagotas AppleScript incluye conciencia ambiental que le permite tomar huellas digitales del host y continuar la ejecución solo si determina que el host se está ejecutando en Apple Silicon. Esto se hace derivando una clave basada en una huella digital que contiene detalles como la arquitectura de la CPU, la configuración regional, la distribución del teclado, la zona horaria, etc., y usándola para desbloquear la configuración cifrada, incluida la URL de carga útil y la ruta de instalación.
En las Mac basadas en Intel, la clave de descifrado derivada es diferente, por lo que la descodificación de la configuración falla y el cuentagotas se cierra. Este script también evita la ejecución dentro de un entorno de pruebas o de análisis. También evita ejecutarse en sistemas donde las zonas horarias, las configuraciones regionales del sistema y las entradas del teclado se resuelven en países ubicados en Europa del este, como Rusia, Bielorrusia, Kazajstán, Armenia, Azerbaiyán, Kirguistán, Moldavia, Tayikistán, Uzbekistán, Turkmenistán y Georgia.
Si la verificación pasa, el script se conecta a un servidor externo y descarga un binario Mach-O escrito en Rust. Este binario se hace pasar por una aplicación Finder y recopila datos de su navegador web, extensiones de billetera criptográfica, llavero de iCloud y contenido del portapapeles. La información obtenida se cifra y se filtra a la infraestructura controlada por el atacante (‘avenger-sync(.)live’) a través de solicitudes HTTP salientes.
Además de obligar al usuario a otorgar acceso completo al sistema de archivos, el ladrón proporciona una solicitud de contraseña nativa para recopilar la contraseña del sistema de la víctima y verifica y valida la contraseña ingresada a través de la API PAM. Si la validación falla, solicite al usuario que vuelva a ingresar la contraseña y repita el ciclo hasta que ingrese la contraseña correcta.
«Una vez que se captura una contraseña válida, el ladrón muestra una segunda alerta falsificada que es una copia cercana del mensaje real de Gatekeeper, que dice: ‘Maccy está corrupta y no se puede abrir. Deberías tirarla a la papelera'», dijo Jamf. «Esto es un señuelo. Para cuando aparece, la carga útil ya se ejecutó, capturó la contraseña y se registró para persistencia. Así que este mensaje sólo sirve para que la víctima descarte el señuelo y les haga pensar que la descarga está corrupta».
Los binarios de Rust también incluyen un pequeño arm64 Mach-O que se utiliza para disfrazar la configuración del sistema macOS y configurar la persistencia.
En respuesta a este desarrollo, el desarrollador de Maccy, Alex Rodionov, publicó una advertencia en el sitio web de la compañía y en el repositorio GitHub: «Cuidado con los sitios web falsos que se hacen pasar por Maccy. Los sitios maliciosos (como maccyapp(.)net y maccyapp(.)com) distribuyen malware haciéndose pasar por Maccy. El único sitio web oficial es maccy.app.»
«En conjunto, estos comportamientos demuestran cómo los ladrones de productos básicos de macOS continúan evolucionando, adoptando cadenas de ejecución más silenciosas e implementaciones nativas que reducen las oportunidades de detección tradicionales sin dejar de ser compatibles con las funciones estándar de macOS», dijo Jamf.
Source link
