Home Apple Mac InfoStealer confirma las contraseñas robadas antes de robar datos

Mac InfoStealer confirma las contraseñas robadas antes de robar datos

18

Un ladrón de información de macOS recientemente descubierto verifica las contraseñas de inicio de sesión de Mac antes de robar datos confidenciales, lo que brinda a los atacantes una confirmación instantánea de que las credenciales comprometidas realmente funcionarán.

Los investigadores de Jamf Threat Labs han documentado una nueva campaña de malware para macOS creada en torno a un ladrón de información llamado PamStealer. PamStealer se disfraza como el administrador del portapapeles de Maccy y utiliza una carga útil de Rust y AppleScript para infectar Mac.

Jamf descubrió que PamStealer verifica las contraseñas de inicio de sesión a través del módulo de autenticación conectable de Apple antes de robar datos adicionales. La verificación de contraseña distingue a PamStealer de la mayoría de los ladrones de información de macOS, que normalmente capturan la contraseña que ingresa la víctima sin verificar que sea válida.

D Comienza la campaña Con un sitio web falso que imita fielmente al Maccy Clipboard Manager legítimo. A continuación, el sitio web falso ofrece una aplicación AppleScript maliciosa disfrazada de Maxi.

Una vez que la víctima abre la descarga, la aplicación maliciosa sondea el sistema y recupera la carga útil de oxidación de la segunda etapa. Luego, PamStealer establece la persistencia antes de recopilar datos.

La campaña comienza con un sitio web falso que imita fielmente al Maccy Clipboard Manager legítimo.

Jamoff también descubrió que PalmStealer verifica las propiedades del sistema, la distribución del teclado y la configuración regional antes de ejecutarlo. Las pruebas regionales, de sistema y de teclado sugieren que los operadores han configurado PamStealer para que se ejecute solo en sistemas que coincidan con el propósito previsto.

La verificación de contraseña mejora la calidad de las credenciales robadas

La característica más notable de PamStealer es la forma en que captura las credenciales de inicio de sesión. Durante la ejecución, el malware muestra un mensaje de autorización válido de macOS que solicita al usuario que ingrese una contraseña para que Maccy pueda modificarla.

En lugar de simplemente registrar el tipo de víctima, PamStealer verifica la contraseña con el módulo de autenticación conectable de Apple antes de continuar. Zamoff dice que PamStealer no reemplaza ni evita el sistema de autenticación de Apple.

En cambio, el malware explota un marco válido de macOS para verificar las credenciales después de persuadir a la víctima para que ingrese una contraseña. Los atacantes pueden revocar los certificados no válidos antes de continuar con el ataque.

La carga útil de Rust roba datos del navegador y persiste

Después de verificar la contraseña, la carga útil de Rust de segunda etapa recopila información extensa de la Mac infectada. PalmStealer apunta a las cookies del navegador, el historial de navegación, las credenciales almacenadas, las bases de datos SQLite, el contenido del portapapeles y los datos de la billetera de criptomonedas, dijo Zamoff.

PamStealer cifra los datos robados antes de enviarlos a la infraestructura de comando y control, lo que dificulta la inspección del tráfico de la red.

PamStealer crea elementos de inicio de sesión a través de métodos macOS modernos y heredados para que se reinicie automáticamente después de que el usuario inicia sesión. El malware se hace pasar por Finder mientras intenta convencer a las víctimas de que le otorguen acceso completo al disco.

El acceso completo al disco es un permiso que ampliará significativamente la cantidad de información a la que puede acceder sin solicitudes adicionales.

Un escritorio muestra dos ventanas de edición de código con temas oscuros, cada una de las cuales muestra diferentes fragmentos de código JavaScript con resaltado de sintaxis, botones de barra de herramientas en la parte superior y un área de detalles pequeños en la parte inferior.La característica más notable de PamStealer es la forma en que captura las credenciales de inicio de sesión.

Gran parte del malware de segunda etapa de PamStealer está escrito en Rust en lugar de AppleScript, dijo Zamoff. El uso de Rust dificulta la ingeniería inversa porque muchas cadenas y rutas de código se resuelven mientras se ejecuta el malware, en lugar de aparecer directamente en el binario compilado.

Las funciones nativas de macOS ayudan a que el ataque sea más efectivo

PamStealer muestra cómo el malware de macOS explota características legítimas del sistema operativo en lugar de depender únicamente de código malicioso. Zamoff dice que el marco de autenticación de Apple, Rust y las comunicaciones cifradas trabajan juntos para dificultar el análisis del malware.

Los investigadores dijeron que la combinación refleja la evolución continua del malware centrado en macOS, en lugar de depender de vulnerabilidades previamente desconocidas.

Jamf recomienda descargar software solo de fuentes confiables. La compañía insta a los usuarios a ser escépticos ante solicitudes inesperadas de contraseñas de administrador y a evitar solicitudes innecesarias de acceso completo al disco.

Las organizaciones que utilizan Jamf pueden configurar la prevención de amenazas, el control avanzado de amenazas y la protección web para ayudar a bloquear malware similar antes de que entre en vigor.

Cómo mantenerse seguro

PamStealer todavía depende de que los usuarios descarguen software de una fuente no confiable y aprueben múltiples indicaciones antes de completar el ataque de malware. Los usuarios sólo deben descargar aplicaciones para Mac de desarrolladores confiables y verificar las direcciones de los sitios web antes de instalar el software.

Las solicitudes inesperadas de contraseñas de administrador merecen un análisis adicional, especialmente cuando aparecen durante la instalación de una aplicación. Los usuarios deben revisar cuidadosamente las solicitudes de acceso completo al disco y permitir solo aplicaciones en las que confíen.

Los usuarios deben revisar cuidadosamente las solicitudes de acceso completo al disco y otorgar permiso solo cuando sea necesario para el software en el que confían. Mantener macOS y el software de seguridad actualizados puede ayudar a detectar o bloquear malware conocido antes de que comprometa un sistema.

Enlace fuente