- Un nou malware pentru macOS, numit PamStealer, se folosește de site-uri false și verificări PAM pentru a fura parolele de login.
Cercetătorii de securitate de la Jamf Threat Labs au descoperit un nou malware pentru macOS, denumit PamStealer, care folosește tehnici ingenioase pentru a infecta sistemele și a fura date sensibile. Distribuit sub forma unui fișier AppleScript compilat (.scpt) care se dă drept Maccy, un cunoscut manager de clipboard open-source, acest infostealer reprezintă o amenințare serioasă pentru utilizatorii de Mac.
Cum acționează PamStealer?
PamStealer este distribuit prin site-uri web false care imită pagina oficială a aplicației Maccy. Odată descărcat și executat, fișierul .scpt solicită permisiuni de accesibilitate și de înregistrare a ecranului, pretextând că sunt necesare pentru funcționarea clipboard managerului. În realitate, aceste permisiuni permit malware-ului să monitorizeze activitatea utilizatorului și să intercepteze datele introduse.
Tehnica de furt a parolelor
Numele „PamStealer” provine de la capacitatea sa de a exploata modulul PAM (Pluggable Authentication Modules) al macOS. Când utilizatorul își introduce parola de login (de exemplu, după o actualizare de sistem sau o deblocare), PamStealer capturează această parolă direct din memoria proceselor de autentificare. Mai exact, malware-ul folosește un script AppleScript care rulează cu permisiuni ridicate pentru a extrage hash-uri și, în unele cazuri, chiar parolele în clar din fișierele de configurare PAM.
Cum se pot proteja utilizatorii?
Pentru a evita infectarea, specialiștii recomandă descărcarea aplicațiilor doar din surse oficiale, precum Mac App Store sau site-urile dezvoltatorilor verificați. De asemenea, este esențial să acordați atenție permisiunilor solicitate de aplicații: un clipboard manager nu ar trebui să ceară acces la înregistrarea ecranului. Utilizarea unui software de securitate actualizat și monitorizarea activităților suspecte în Activity Monitor pot ajuta la detectarea timpurie a amenințărilor.
Ce înseamnă pentru tine
Pentru utilizatorii români de Mac, acest atac subliniază importanța verificării surselor de descărcare și a permisiunilor acordate aplicațiilor. Iată câteva măsuri practice:
- Nu descărca aplicații din reclame sau site-uri neverificate. Folosește întotdeauna Mac App Store sau site-ul oficial al dezvoltatorului.
- Refuză permisiunile excesive. Dacă o aplicație care pare inofensivă cere acces la înregistrarea ecranului sau la accesibilitate, fără un motiv clar, nu o permite.
- Actualizează-ți sistemul și software-ul de securitate. Apple lansează actualizări care pot bloca astfel de amenințări, iar un antivirus bun poate detecta fișierele .scpt malițioase.
PamStealer este un exemplu clar al evoluției amenințărilor cibernetice pe macOS. Rămâneți vigilenți și informați pentru a vă proteja datele personale.