Бесшовный импорт кода в Google AI StudioЭволюция скрытого шпионажа в macOS

Современный ландшафт киберугроз для пользователей Mac претерпевает качественную трансформацию. На смену примитивным троянам приходят сложные многоэтапные инструменты, такие как PamStealer. Его главная особенность заключается не в агрессивности, а в исключительной скрытности, которая достигается за счет использования легитимных инструментов разработки и системных интерфейсов Apple.
Процесс заражения начинается с классического, но эффективно реализованного приема социальной инженерии. Жертве предлагается скачать образ диска, замаскированный под Maccy — популярный и уважаемый менеджер буфера обмена. Использование образа диска позволяет вредоносу обмануть пользователя, создавая иллюзию установки стандартного программного обеспечения.
Техническая цепочка исполнения PamStealer представляет собой многослойный «пирог». Первый этап реализован на AppleScript, который при запуске открывается в стандартном редакторе скриптов macOS, маскируя вредоносный код глубоко внутри файла. Однако настоящая сложность начинается далее: вместо использования типичных для вредоносов команд оболочки, таких как curl или zsh, которые легко отслеживаются современными системами защиты (EDR), AppleScript запускает самодостаточный загрузчик JavaScript for Automation (JXA). Этот механизм, в свою очередь, взаимодействует с нативными API Objective-C для извлечения и подготовки основной полезной нагрузки, написанной на языке Rust.
Выбор Rust для финального этапа не случаен. Этот язык обеспечивает высокую производительность и безопасность памяти, но, что более важно для атакующих, код на Rust сложнее подвергнуть реверс-инжинирингу по сравнению с традиционными скриптами.
Особого внимания заслуживает метод обхода системы карантина macOS. Атрибут com.apple.quarantine обычно блокирует запуск исполняемых файлов, загруженных из интернета, выдавая предупреждение пользователю. Чтобы нейтрализовать эту защиту, PamStealer просит жертву нажать комбинацию Command-R сразу после открытия образа. Это действие запускает код непосредственно в контексте AppleScript, что позволяет эффективно «проскользнуть» мимо механизмов проверки Gatekeeper.
Ключевой инновацией PamStealer является использование интерфейса Pluggable Authentication Modules (PAM). PAM — это стандартный механизм macOS, предназначенный для гибкой настройки аутентификации пользователей. Большинство инфостилеров используют «шумные» вызовы, такие как dscl, security или osascript, которые создают заметные следы в системных логах. PamStealer же взаимодействует с PAM API напрямую.
Когда пользователь видит поддельное окно авторизации с текстом «Maccy хочет внести изменения. Введите свой пароль, чтобы разрешить», введенные данные проверяются локально через PAM. Вредонос не отправляет каждый введенный символ на сервер, а ждет подтверждения от самой системы, что пароль верен. Только после успешной локальной верификации подтвержденный пароль пересылается на сервер злоумышленников. Если пароль неверен, программа будет бесконечно выводить запрос, пока не получит правильный ответ.
Для окончательного усыпления бдительности жертвы после успешного кражи пароля PamStealer выводит сообщение о том, что файл поврежден и установка невозможна. Это изящный психологический ход: пользователь списывает неудачу на технический сбой, не подозревая, что его учетные данные уже скомпрометированы.
Помимо кражи паролей, программа стремится получить полный доступ к диску, что открывает доступ к любым личным файлам пользователя. Отдельным вектором атаки стал поиск данных аккаунтов Ethereum, что подчеркивает растущий интерес киберпреступников к криптоактивам пользователей премиальных устройств.
Случай с PamStealer подтверждает тревожный тренд: вредоносное ПО эволюционирует в сторону «нативности». Используя легитимные API и системные модули, атакующие создают инструменты, которые практически неотличимы от обычных системных процессов, что делает традиционные методы обнаружения по сигнатурам или подозрительному поведению оболочки малоэффективными.

