Güvenlik araştırmacıları, macOS cihazlarını hedef alan ve daha önce hiç görülmemiş bir kötü amaçlı yazılım olan PamStealer'ı tespit etti. Bu malware, kullanıcı kimlik bilgilerini çalmak için sofistike bir iki aşamalı saldırı yöntemi kullanıyor ve macOS'a özgü sistem araçlarından yararlanarak gizli kalmayı başarıyor.
İki Aşamalı Saldırı Yapısı
PamStealer, disk imajı ve AppleScript kullanılarak dağıtılıyor. İlk aşamada, kötü amaçlı yazılım kendisini Maccy adlı meşru bir pano yöneticisi uygulaması olarak gizliyor. Kullanıcı dosyayı açtığında, macOS Script Editor'ünde zararlı kod çalışıyor ve Command-R tuşu kombinasyonuyla yürütülüyor. Bu yöntem, macOS'un indirilen dosyalara karşı gösterdiği uyarı sistemini (com.apple.quarantine) bypass etmeyi sağlıyor.
Rust Tabanlı Gizli Yükleme Mekanizması
İkinci aşamada, JavaScript for Automation (JXA) ile yazılmış bir indirici, Rust dilinde geliştirilen asıl yükü sisteme yerleştiriyor. Bu yük, macOS'un Pluggable Authentication Modules (PAM) arayüzünü kullanarak hedef cihazın giriş parolasını doğruluyor, ardından saldırganın sunucusuna gönderiyor. Malware, gerçek bir sistem yetkilendirmesi isteği gibi görünen sahte bir parola sorgusu da sunuyor.
Algılanmayı Zorlaştıran Tasarım
PamStealer, Finder ve Software Update gibi gerçek macOS bileşenleri olarak maskelenip arka planda çalışıyor. Şifreleme kullanan komut-kontrol iletişimi ve Tam Disk Erişimi isteklerini 40 dakika kadar geciktirerek aktivitesini sistemi başlatma zamanından uzaklaştırıyor. Bu davranışlar, geleneksel güvenlik yazılımlarının tespit etmesini güçleştiriyor ve macOS'un yerli işlevleriyle uyumlu kalıyor.





Yorumlar (0)
İlk yorumu sen yaz.