Стилер для macOS проверяет пароли жертв перед кражей - «Новости»
- 14:30, 08-июл-2026
- Новости / Сайтостроение / Изображения / Преимущества стилей / Заработок / Добавления стилей
- Михаил
- 0
Аналитики Jamf Threat Labs обнаружили необычный инфостилер PamStealer для macOS. Малварь распространяется через поддельные ресурсы, копирующие официальный сайт менеджера буфера обмена Maccy. Жертву вынуждают самостоятельно запустить вредоносный AppleScript, а затем малварь проверяет введенный пароль через Pluggable Authentication Modules (PAM).
По словам исследователей, атакующие используют домены maccyapp[.]com и maccyapp[.]net, полностью копируя официальный сайт maccy.app. С этих поддельных сайтов пользователь может загрузить DMG-образ с файлом Maccy.scpt.
После двойного клика по этому файлу открывается Script Editor и жертве предлагают нажать ⌘ + R или кнопку Run. Вредоносная логика при этом оказывается скрыта ниже за счет большого блока пустых строк. Такой прием позволяет выполнить скрипт, даже если файл помечен атрибутом com.apple.quarantine.
Вместо команд вроде curl или zsh вредонос запускает автономный JXA-загрузчик, который получает второй пейлоад через штатные Objective-C API. По словам исследователей, это делает цепочку заражения менее заметной для защитных решений.
Сначала малварь собирает данные о системе: архитектуру процессора, локаль, раскладку клавиатуры и часовой пояс. На основе этих данных генерируется ключ для расшифровки конфигурации с адресом пейлоада и путем установки. Подчеркивается, что вредонос работает только на Mac с Apple Silicon. На машинах на базе Intel ключ не совпадает, поэтому расшифровать конфигурацию не удается и скрипт завершает работу.
Кроме того, заражение прерывается, если часовой пояс, локаль или раскладка указывают на то, что пользователь находится в России, Беларуси, Казахстане, Армении, Азербайджане, Киргизии, Молдове, Таджикистане, Узбекистане, Туркменистане или Грузии.
Если все проверки пройдены, дроппер загружает написанный на Rust бинарник Mach-O. Он маскируется под Finder, Software Update или другие компоненты macOS, работает скрытно и закрепляется в системе.
На зараженной машине PamStealer собирает данные из браузеров, содержимое буфера обмена, информацию из iCloud Keychain и расширений криптокошельков, а также сведения об Ethereum-аккаунтах. Вся собранная информация шифруется и отправляется на сервер avenger-sync[.]live. Кроме того, малварь запрашивает Full Disk Access, причем может отложить это действие на 40 минут, чтобы пользователь не связал появление запроса с запуском Maccy.
Но главной особенностью этого стилера является кража системного пароля с помощью Pluggable Authentication Modules (PAM), штатного механизма macOS для аутентификации пользователей. После заражения на экране устройства появляется нативное окно с сообщением: «Maccy wants to make changes. Enter your password to allow this» («Maccy запрашивает разрешение на внесение изменений. Введите пароль»).
Если пользователь попадается на уловку злоумышленников, введенный им пароль проверяется локально через PAM API, без запуска dscl, security, osascript или дополнительных процессов. Если пароль неверен, запрос будет повторяться до тех пор, пока жертва не введет правильный.
После этого PamStealer показывает жертве фальшивое предупреждение о том, что Maccy поврежден и его следует переместить в корзину. К этому моменту пароль уже похищен, данные собраны, и малварь закрепилась в системе. Сообщение служит отвлекающим маневром, чтобы пользователь решил, что скачал неработающий инсталлятор и удалил приманку.
Разработчик Maccy Алекс Родионов (Alex Rodionov) уже разместил предупреждение на сайте проекта и на GitHub. Он подчеркивает, что maccy.app — единственный официальный сайт приложения.














Комментарии (0)