PamStealer: Новое скрытное вредоносное ПО для macOS, замаскированное под менеджер буфера обмена, нацелено на учетные данные пользователей.

Узнайте о PamStealer, новом вредоносном ПО для macOS, которое маскируется под менеджер буфера обмена Mac, чтобы красть пароли и криптографические ключи. Поймите, как оно работает и как оставаться в безопасности.

A
Staff Writer
Опубликовано на 03/07/2026 13:35
PamStealer: Новое скрытное вредоносное ПО для macOS, замаскированное под менеджер буфера обмена, нацелено на учетные данные пользователей.

Расцвет изощренных программ для кражи информации в macOS

В течение многих лет пользователи Mac пользовались относительной безопасностью по сравнению со своими коллегами из Windows. Однако этот разрыв быстро сокращается, поскольку киберпреступники разрабатывают все более целенаправленные и изощренные инструменты. Последняя угроза, выявленная исследователями безопасности из Jamf, — это вредоносная программа под названием PamStealer. Эта программа для кражи информации использует хитроумное сочетание социальной инженерии и встроенных системных инструментов macOS для обхода предупреждений безопасности и сбора конфиденциальной информации для входа в систему.

Как PamStealer обманывает пользователей

PamStealer представляет собой не явный вирус, а поддельную версию популярного, легитимного приложения для повышения производительности под названием Maccy — легковесного менеджера буфера обмена. Выдавая себя за доверенную утилиту, вредоносная программа заманивает пользователей к загрузке и установке с мошеннического домена.

Двухэтапный процесс заражения

Вредоносная программа использует многоэтапную цепочку выполнения, разработанную для того, чтобы оставаться незамеченной традиционным антивирусным программным обеспечением:

  • Этап первый: Запись AppleScript: Вредоносная программа распространяется через образ диска. При открытии пользователям предлагается выполнить AppleScript. Используя этот метод, PamStealer успешно обходит com.apple.quarantine, встроенную функцию безопасности macOS, которая обычно помечает и ограничивает исполняемые файлы, загружаемые из интернета.
  • Этап второй: Полезная нагрузка на основе Rust: После активации скрипта он использует загрузчик JavaScript для автоматизации (JXA) для получения полезной нагрузки второго этапа. Эта полезная нагрузка представляет собой файл Mach-O, написанный на Rust и специально оптимизированный для процессоров Apple серии M. Использование Rust особенно примечательно, поскольку он редко встречается среди вредоносных программ для кражи учетных данных в macOS, что затрудняет распознавание вредоносного ПО некоторыми инструментами безопасности.

Кража учетных данных через PAM

Что отличает PamStealer от обычных вредоносных программ, так это использование интерфейса Pluggable Authentication Modules (PAM). Вместо использования очевидных команд оболочки, таких как curl или zsh, которые часто вызывают предупреждения безопасности, PamStealer отображает запрос на ввод пароля, похожий на стандартный запрос macOS.

Запрос обычно выглядит так: «Maccy хочет внести изменения. Введите свой пароль, чтобы разрешить это». Когда ничего не подозревающий пользователь вводит свой пароль администратора, вредоносная программа проверяет учетные данные локально через API PAM. Это позволяет злоумышленнику либо получить полный доступ к диску, либо внедрить вредоносный код для атаки на определенные активы, такие как счета криптовалюты Ethereum.

Как защитить свой Mac от PamStealer

Хотя macOS имеет встроенные средства защиты, такие как XProtect, человеческий фактор остается основной уязвимостью. Вот лучшие практики для обеспечения безопасности вашего устройства:

1. Проверяйте источники программного обеспечения

Всегда загружайте программное обеспечение с официальных веб-сайтов. В случае с Maccy единственным легитимным сайтом является maccy.app. Остерегайтесь похожих URL-адресов, таких как maccyapp.com, которые использовались для размещения вредоносного ПО.

2. Отдавайте приоритет App Store

По возможности загружайте приложения непосредственно из Apple App Store. Поскольку Apple проверяет приложения перед их размещением в каталоге, риск установки вредоносной программы значительно снижается по сравнению с загрузкой случайных файлов .dmg из интернета.

3. Скептически относитесь к неожиданным запросам пароля

Если только что установленное приложение внезапно запрашивает пароль администратора для «внесения изменений» без четкой причины, остановитесь и разберитесь. Высококачественное программное обеспечение обычно точно объясняет, почему требуются повышенные права доступа.

4. Используйте многоуровневую защиту

Хотя XProtect — это отличный базовый вариант, использование авторитетного стороннего антивирусного решения может обеспечить дополнительный уровень эвристического анализа для обнаружения угроз «нулевого дня», таких как PamStealer, до их выполнения.

Похожие записи