بدافزار جدید PamStealer Mac به عنوان یک مدیر کلیپ بورد برای سرقت اطلاعات ورود به سیستم شما عمل می کند – نحوه ایمن ماندن

محققان امنیتی که بر روی دستگاههای اپل تمرکز میکنند، یک بدافزار جدید macOS را کشف کردهاند که هنگام جمعآوری دادهها و اعتبارنامههای ورود بهطور شگفتآوری هوشمندانه به نظر میرسد.
به گفته شرکت فناوری اطلاعات Jamf (از طریق ArsTechnica)، بدافزار جدید به نام PamStealer می تواند مک شما را در دو مرحله آلوده کند. اول، او خود را به عنوان مکسی، مدیر کلیپ بورد، در می آورد.
PamStealer ظاهراً به صورت AppleScript نوشته شده در Rust کامپایل میشود که از رابط Pluggable Authentication Modules ساخته شده در macOS برای هدف قرار دادن رمز ورود دستگاه استفاده میکند که سپس به سروری که توسط مهاجم کنترل میشود ارسال میشود.
چیزی که PamStealer را منحصر به فرد می کند این است که تصاویر دیسک را با AppleScript ترکیب می کند تا به صورت مخفیانه وارد رایانه شما شود. با کلیک بر روی AppleScript، ویرایشگر اسکریپت macOS، جایی که بدافزار در فایل تعبیه شده است، باز می شود.
تیم Jamf نوشت: «به جای تکیه بر دستورات پوسته مانند curl یا zsh، AppleScript یک دانلودکننده مستقل جاوا اسکریپت برای اتوماسیون (JXA) را اجرا میکند که بارگیری را با استفاده از APIهای Objective-C اصلی دریافت و مرحلهبندی میکند. ترکیب با فاز دوم مبتنی بر Rust و گردش کار ضبط رمز عبور که اعتبارنامهها را به صورت محلی از طریق PAM تأیید میکند، نتیجه یک زنجیره اجرای ساکتتر از آنچه که ما معمولاً در سارقان macOS تجاری مشاهده میکنیم، است.
PamStealer چگونه کار می کند؟
هنگامی که شخصی Maccy جعلی را نصب می کند و تصویر دیسک را باز می کند، بلافاصله از او خواسته می شود تا Command-R را وارد کند. با انجام این کار کدهای مخرب در داخل AppleScript اجرا می شود. این به شما امکان میدهد com.apple.quarantine، یک ویژگی معمولی macOS را که هنگام باز کردن فایلهای اجرایی از اینترنت، هشدارها و محدودیتهایی را ارائه میدهد، دور بزنید.
مرحله دوم یک فایل Mach-O است که به طور خاص برای مک های دارای پردازنده های سری M اپل نوشته شده است. ظاهرا Rust یک کد غیرمعمول برای اسکیمرهای macOS است. این SQLite را گرد هم می آورد و آن را رابط خواندن می نامد. این بدان معناست که فایل های پایگاه داده را مستقیما باز می کند و می خواند.
PamStealer یک اعلان رمز عبور محلی را ظاهر می کند که شبیه درخواست مجوز سیستم است. میخواند: «مکی میخواهد تغییری ایجاد کند. رمز عبور خود را وارد کنید تا این امکان فراهم شود.”
پس از وارد کردن رمز عبور، از طریق API PAM تأیید می شود، به این معنی که شناسایی آن برای مدافعان بدافزار دشوارتر است. علاوه بر این، میتواند دسترسی کامل به دیسک را برای یک بازیگر مخرب فراهم کند یا کدی را که برای دسترسی به حسابهای اتریوم طراحی شده است، تزریق کند.
جامف گفت: «این رفتارها نشان میدهد که چگونه سارقان macOS تجاری به تکامل خود ادامه میدهند و زنجیرههای اجرایی ساکتتر و پیادهسازیهای بومی را اتخاذ میکنند که فرصتهای تشخیص سنتی را کاهش میدهند و در عین حال با ویژگیهای استاندارد macOS سازگار میمانند.
چگونه می توانید از خود در برابر PamStealer محافظت کنید؟
اول از همه، Maccy یک برنامه بسیار محبوب، واقعی و قانونی است. اگر علاقه مند به بررسی برنامه هستید، تنها وب سایت واقعی maccy.app است.
Jamf دریافت که Maccy’s جعلی در maccyapp.com میزبانی می شود، سایتی که حتما باید از آن بازدید کنید. منفی بازدید کنید.
دوم، یادآوری خوبی برای بررسی دوبار و سه برابر URL های وب سایت است. بهویژه برای برنامههای macOS، میتوانید ببینید آیا آن برنامه در اپ استور اپل موجود است یا خیر. به عنوان مثال، Maccy در فروشگاه App است.
اپل هنوز یک باغ بسیار بسته است، بنابراین اگر به دنبال چیزی هستید و میخواهید از واقعی بودن آن مطمئن شوید، توصیه میکنم قبل از ورود به فضای اینترنت از آنجا شروع کنید.
فراتر از آن، مک شما دارای نرم افزار امنیتی داخلی به شکل XProtect است. اما اگر به محافظت بیشتری نیاز دارید، ممکن است ارزش سرمایه گذاری در یکی از بهترین راه حل های نرم افزار آنتی ویروس مک را داشته باشد.
دنبال کردن راهنمای تام برای Google News و ما را به عنوان منبع ترجیحی اضافه کنید برای مشاهده آخرین اخبار، تحلیل ها و بررسی های ما در فیدهای خود.



