PamStealer: Nowe, ukryte złośliwe oprogramowanie dla systemu macOS podszywające się pod menedżera schowka atakuje dane uwierzytelniające użytkowników

Dowiedz się więcej o PamStealer, nowym złośliwym oprogramowaniu dla systemu macOS, podszywającym się pod menedżera schowka Maccy, aby wykradać hasła i klucze kryptograficzne. Dowiedz się, jak działa i jak zachować bezpieczeństwo.

A
Staff Writer
Opublikowano dnia 03/07/2026 13:35
PamStealer: Nowe, ukryte złośliwe oprogramowanie dla systemu macOS podszywające się pod menedżera schowka atakuje dane uwierzytelniające użytkowników

Rozwój wyrafinowanych programów do kradzieży informacji w systemie macOS

Przez lata użytkownicy komputerów Mac cieszyli się względnym bezpieczeństwem w porównaniu z użytkownikami systemu Windows. Jednak ta różnica szybko się zmniejsza, ponieważ cyberprzestępcy opracowują bardziej ukierunkowane i zaawansowane narzędzia. Najnowszym zagrożeniem, zidentyfikowanym przez badaczy bezpieczeństwa z Jamf, jest złośliwe oprogramowanie o nazwie PamStealer. Ten program do kradzieży informacji wykorzystuje sprytne połączenie socjotechniki i natywnych narzędzi systemu macOS, aby ominąć ostrzeżenia bezpieczeństwa i zebrać poufne dane logowania.

Jak PamStealer oszukuje użytkowników

PamStealer nie pojawia się jako jawny wirus, lecz jako podróbka popularnej, legalnej aplikacji do zwiększania produktywności o nazwie Maccy — lekkiego menedżera schowka. Podszywając się pod zaufane narzędzie, złośliwe oprogramowanie nakłania użytkowników do pobrania i zainstalowania go z fałszywej domeny.

Dwuetapowy proces infekcji

Złośliwe oprogramowanie wykorzystuje wieloetapowy łańcuch wykonywania, zaprojektowany tak, aby pozostać niezauważonym przez tradycyjne oprogramowanie antywirusowe:

  • Etap pierwszy: Wpis AppleScript: Złośliwe oprogramowanie pojawia się w obrazie dysku. Po jego otwarciu użytkownicy są proszeni o wykonanie AppleScript. Dzięki tej metodzie PamStealer skutecznie omija com.apple.quarantine, natywną funkcję bezpieczeństwa systemu macOS, która zazwyczaj oznacza i ogranicza pliki wykonywalne pobierane z internetu.
  • Etap drugi: Ładunek oparty na Rust: Po aktywacji skrypt wykorzystuje program pobierający JavaScript for Automation (JXA) do pobrania ładunku drugiego etapu. Ten ładunek to plik Mach-O napisany w języku Rust, zoptymalizowany specjalnie pod kątem procesorów Apple serii M. Użycie języka Rust jest szczególnie godne uwagi, ponieważ jest on rzadko spotykany w przypadku popularnych programów wykradających dane z systemu macOS, co utrudnia rozpoznanie tego złośliwego oprogramowania przez niektóre narzędzia bezpieczeństwa.

Kradzież danych uwierzytelniających za pośrednictwem PAM

PamStealer wyróżnia się od zwykłego złośliwego oprogramowania wykorzystaniem interfejsu Pluggable Authentication Modules (PAM). Zamiast oczywistych poleceń powłoki, takich jak curl lub zsh, które często uruchamiają alerty bezpieczeństwa, PamStealer wyświetla natywny monit o podanie hasła systemu macOS.

Monit zazwyczaj brzmi: „Maccy chce wprowadzić zmiany. Wprowadź hasło, aby na to zezwolić”. Gdy niczego niepodejrzewający użytkownik wprowadzi swoje hasło administratora, złośliwe oprogramowanie weryfikuje dane uwierzytelniające lokalnie za pośrednictwem interfejsu API PAM. Pozwala to atakującemu uzyskać pełny dostęp do dysku lub wstrzyknąć złośliwy kod, aby zaatakować określone zasoby, takie jak konta kryptowalutowe Ethereum.

Jak chronić komputer Mac przed PamStealer

Chociaż system macOS ma wbudowane mechanizmy obronne, takie jak XProtect, to czynnik ludzki pozostaje głównym zagrożeniem. Oto najlepsze praktyki, aby zapewnić bezpieczeństwo urządzenia:

1. Weryfikuj źródła oprogramowania

Zawsze upewnij się, że pobierasz oprogramowanie z oficjalnych stron internetowych. W przypadku Maccy jedyną legalną stroną jest maccy.app. Uważaj na podobnie wyglądające adresy URL, takie jak maccyapp.com, które były wykorzystywane do hostowania złośliwego oprogramowania.

2. Priorytetowo potraktuj App Store

Jeśli to możliwe, pobieraj aplikacje bezpośrednio ze sklepu Apple App Store. Ponieważ Apple weryfikuje aplikacje przed ich umieszczeniem na liście, ryzyko zainstalowania programu kradnącego informacje jest znacznie mniejsze w porównaniu z pobieraniem losowych plików .dmg z internetu.

3. Zachowaj ostrożność w przypadku nieoczekiwanych monitów o hasło

Jeśli aplikacja, którą właśnie zainstalowałeś, nagle prosi o hasło administratora, aby „wprowadzić zmiany” bez wyraźnego powodu, przerwij działanie i zbadaj sprawę. Wysokiej jakości oprogramowanie zazwyczaj dokładnie wyjaśnia, dlaczego wymagane są podwyższone uprawnienia.

4. Korzystaj z wielowarstwowej ochrony

Chociaż XProtect to dobry punkt wyjścia, rozważenie renomowanego rozwiązania antywirusowego innej firmy może zapewnić dodatkową warstwę analizy heurystycznej, która pozwoli wychwycić zagrożenia „zero-day”, takie jak PamStealer, zanim zostaną uruchomione.

Powiązane posty