Malware usa mecanismo de autenticação do Mac para roubar senha do sistema

Malware usa mecanismo de autenticação do Mac para roubar senha do sistema

A , empresa especializada em pesquisas de cibersegurança, detalhou recentemente o PamStealer, um malware que combina técnicas de ataque relativamente conhecidas de maneira sofisticada para explorar Macs.

Para adentrar nas máquinas dos usuários, os invasores usam uma técnica para lá de comum: se passam pelo aplicativo legítimo com uma página falsa que induz o usuário a baixar um arquivo DMG contendo um AppleScript compilado.

Posts relacionados

Assim que o usuário abre o falso app, o arquivo roda um script capaz de identificar o computador, baixar o segundo estágio do ataque, instalar o malware e executá-lo na máquina.

Ele exibe uma caixa de autenticação com o objetivo de conseguir a senha do sistema e, quando o usuário a digita, mostra um alerta de erro afirmando que o app não pode ser instalado — certamente um padrão já visto pelos usuários em apps legítimos.

Um detalhe interessante é que o malware usa o PAM, o sistema que o próprio macOS emprega para autenticar usuários, para validar a senha do sistema antes de mandá-la aos invasores e evitar o envio de credenciais incorretas — daí o nome PamStealer.

Antes de operar, o malware faz algumas verificações para rodar apenas em máquinas desejadas. Ele falha em Macs com processadores Intel e evita países como Rússia, Bielorrússia e Cazaquistão — o que pode indicar que ele foi desenvolvido na região.

No segundo estágio, é rodado um binário arm64 desenvolvido em Rust, capaz de coletar senhas de navegadores, cookies, bancos de dados SQLite, extensões de carteiras de criptomoedas e até conteúdo da área de transferência do usuário.

Além disso, o malware usa mecanismos de comunicação criptografada, persistência dupla e até mesmo instala um app com o indicador do que é executado em segundo plano e solicita ao usuário acesso total ao disco para obter mais dados.

Nem o X está a salvo…

Em uma publicação no X, a Jamf também detalhou como invasores usaram uma conta verificada na plataforma para divulgar um anúncio de um suposto aplicativo chamado DynamicLake, relacionado à Ilha Dinâmica (Dynamic Island) dos iPhones.

Quando o usuário era direcionado ao site (falso, obviamente), ele era induzido a abrir o e colar um comando de instalação — uma técnica de engenharia social bastante popular que ficou conhecida nos últimos anos como .

Ao executar o comando, era instalada na máquina do usuário a MacSync, uma variante recente do , uma das famílias de malwares para macOS mais populares atualmente — basicamente um ladrão de dados digitais.


Para se proteger, nos dois casos, é sempre bom desconfiar de páginas de softwares na internet (conferir bem a URL é um bom começo) e jamais executar comandos no Terminal ou baixar arquivos sem a certeza de sua procedência.

via AppleInsider