Site icon TechInside

PamStealer kötü amaçlı yazılımı Mac kullanıcılarını hedef alıyor

PamStealer kötü amaçlı yazılımı

macOS için popüler bir pano yöneticisi olan Maccy’nin sahte bir sürümü, PamStealer adlı yeni keşfedilen bir Mac kötü amaçlı yazılım türünü yaymak için kullanılıyor. Jamf’deki araştırmacılar, kötü amaçlı yazılımın gerçek açık kaynaklı uygulamayı taklit ettiğini, ancak asıl amacının veri çalmak ve kurbanın oturum açma şifresini ele geçirmek olduğunu söylüyor.

PamStealer kötü amaçlı yazılımı için Mac kullanıcıları dikkatli olmalı

PamStealer, Maccy’yi taklit eden bir AppleScript dosyası içeren bir disk görüntüsü olarak geliyor. Kullanıcı bu dosyayı açtığında, macOS bunu Komut Dosyası Düzenleyicisi’nde başlatıyor ve ekrandaki talimatlar onlara Command-R tuşuna basmalarını söylüyor. Normal bir uygulama yükleyicisi bekleyen biri için bu garip bir kurulum adımı gibi görünebilir. Gerçekte, bu işlem gizli kötü amaçlı yazılım kodunu çalıştırır ve saldırıyı başlatır.

Saldırının ilk kısmı sessiz kalacak şekilde tasarlanmıştır. Araştırmacılar, güvenlik ekiplerinin sıklıkla izlediği yaygın Mac komut satırı araçlarını kullanmak yerine, kötü amaçlı yazılımın bir sonraki aşamayı indirmek ve başlatmak için Apple’ın kendi otomasyon özelliklerini kullandığını söylüyor. Daha sonra yük, gerçek macOS bileşenleri gibi davranan uygulama paketlerinin içine gizleniyor. Jamf, Finder veya Yazılım Güncelleme gibi görünen örnekler buldu. Bu sahte bileşenler arka planda çalışır ve Apple’ın Finder simgesini kullanır, bu da saldırıyı daha inandırıcı hale getirir.

PamStealer’ın en endişe verici hilesi parola istemidir. Kötü amaçlı yazılım, Maccy’nin değişiklik yapmak istediğini belirten ve kullanıcıdan parola girmesini isteyen yerel görünümlü bir Mac iletişim kutusu gösterir. Parola, macOS’un kendi oturum açma doğrulama sistemi aracılığıyla kontrol edilir. Yanlışsa, istem tekrar görünür. Doğru parola girildiğinde, kötü amaçlı yazılım bunu yakalar ve Maccy’nin hasar gördüğünü ve açılamayacağını belirten sahte bir mesaj gösterir.

Araştırmacılar ayrıca PamStealer’ın panoyu izleyebildiğini, oturum açtıktan sonra tekrar çalışmak üzere kendini kaydettirebildiğini ve daha sonra Tam Disk Erişimi isteyebildiğini buldu. Testlerde, bu istem bazen 40 dakika sonrasına kadar göründü ve bu da isteği sahte yükleyiciyle ilişkilendirmeyi zorlaştırdı. Maccy’nin resmi kanalları artık kullanıcılara sahte web siteleri konusunda uyarıda bulunurken, uygulamayı edinmenin tek meşru yeri olarak maccy.app adresini gösteriyor.

Exit mobile version