Новый пароль-вор PamStealer атакует пользователей Mac под видом Maccy

Иллюстрация поддельного приложения Maccy с предупреждением о безопасности

Эксперты по кибербезопасности из Jamf Threat Labs выявили новую вредоносную программу на базе Rust, маскирующуюся под популярный менеджер буфера обмена Maccy для macOS. Злоумышленники подделали официальный сайт и распространяют заражённый образ диска с файлом Maccy.scpt, который при запуске в Apple Script Editor крадёт пароли пользователей. Уникальность PamStealer в том, что он сначала проверяет пароль жертвы через macOS PAM, а затем похищает его вместе с ключами криптокошельков.

Для загрузки основной части вредоносного кода троян применяет JavaScript и нативные API macOS, обходя стандартные инструменты вроде curl и zsh. Вторая стадия — это скомпилированный для Apple Silicon бинарь, замаскированный под Finder или Software Update. Конфигурация зашифрована с учётом данных конкретного устройства, что затрудняет обнаружение и атаку на неподходящие системы.

PamStealer может похищать данные из браузеров, Keychain, следить за содержимым буфера обмена и сохранять своё присутствие в системе. Для расширения доступа троян создаёт ложное окно Finder с запросом на полный доступ к диску — пользователи, одобряя его, рискуют получить утечку писем, сообщений и резервных копий.

Jamf также заметила, что злоумышленники всё активнее используют наработанные приёмы социальной инженерии в рекламе на платформах вроде X, где через спонсорские объявления продвигаются вредоносные установки. Пока нет данных о масштабных заражениях PamStealer, но Apple уже уведомлена, а специалисты следят за развитием ситуации.

Подобные атаки демонстрируют рост сложности вредоносных кампаний и их способность маскироваться под легитимные приложения, что создаёт новые вызовы для безопасности пользователей macOS и разработчиков ПО.

Следите за крипторынком

Подпишитесь на наш Telegram-канал — получайте новости первыми.

Подписаться в Telegram