
Sunyi trükkök és hitelesnek tűnő jelszólopás
Az első szakasz végig rejtve marad, úgy működik, mintha a rendszer valódi, natív komponense lenne. A fájl nevét és bundle-jét a macOS ismert alkalmazásainak (például Finder.app vagy Software Update.app) megfelelőre hamisítják, és valódi Finder-ikon jelenik meg hozzá. Az AppleScript baljós kérést jelenít meg: arra utasítja a felhasználót, hogy nyomja le a Command–R billentyűkombinációt, amivel a kártékony kód azonnal fut, ráadásul így sikerül megkerülni a macOS letöltött alkalmazásokat ellenőrző biztonsági rendszerét.
Rust kód és egész pályás letámadás
A második szakasz már egy minimalista, Apple CPU-ra optimalizált Mach-O fájl, amelyet szokatlan módon Rust nyelven írtak meg, szemben a megszokott Swift, Go vagy Objective-C-vel. Ez a modul saját SQLite-olvasót is tartalmaz, így az adatbázisokból könnyedén kinyeri a fontosabb adatokat. A PamStealer megtévesztően hitelesnek tűnő, rendszeres jelszóbekérő ablakot dob fel — azt hazudja, hogy a Maccy alkalmazás módosításokat akar végezni. Miután az áldozat beírja a jelszót, a malware helyben ellenőrzi azt, a macOS Pluggable Authentication Modules (PAM) segítségével, semmilyen külső folyamatot nem indítva. Ez csendes fertőzési láncot és kevesebb észlelési lehetőséget eredményez.
Információszerzés és megtévesztés
Ha az áldozat hibás jelszót ad meg, újra bekéri azt, amíg helyeset nem kap. Sikeres hitelesítés után megtévesztő hibaüzenet ugrik elő: a telepítő sérült, nem lehet használni — így próbálják elterelni a figyelmet és csökkenteni a gyanút. Emellett arra is ráveszik a felhasználót, hogy adjon teljes lemezhozzáférést a hamis Maccy alkalmazásnak. Sőt, a kódban célkeresztben vannak az Ethereum-tárcák is: a PamStealer kriptopénzekhez tartozó információkra is vadászik.
A történet másik oldala
A PamStealer új támadási felületet párosít kevéssé ismert rosszindulatú kódokkal: az önálló JXA-dropper, a Rust-alapú második szakasz és a helyben végzett PAM-hitelesítés mind azt mutatja, hogyan fejlődnek a macOS-kártevők. Ezek a fejlesztések csendesebb végrehajtást, natív működést és nehezebb észlelhetőséget hoznak, miközben továbbra is kihasználják a macOS szabványos funkcióit.
