Jamf Threat Labs har avdekket en ny type skadevare for macOS kalt PamStealer. Skadevaren utgir seg for å være den populære utklippstavleappen Maccy og er utviklet for å stjele passord og annen sensitiv informasjon fra Mac-brukere.
Utgir seg for å være en legitim app
PamStealer distribueres via en falsk nettside som etterligner den legitime Maccy-applikasjonen. Når brukeren laster ned og åpner programmet, starter en totrinns angrepskjede som i det skjulte laster ned og kjører den egentlige skadevaren.
Avansert metode for å stjele passord
Det som skiller PamStealer fra mange andre typer skadevare, er hvordan den håndterer innloggingsinformasjon. Skadevaren validerer først brukerens macOS-passord gjennom Apples innebygde autentiseringssystem (PAM) før informasjonen sendes videre til angriperen. I tillegg samler den inn data fra blant annet nettlesere og andre sensitive områder på enheten.
Vanskeligere å oppdage
Ifølge Jamf benytter PamStealer flere teknikker for å redusere synlige spor og gjøre aktiviteten vanskeligere å oppdage. Blant annet brukes innebygde macOS-funksjoner fremfor tradisjonelle kommandolinjeverktøy, noe som kan gjøre skadevaren mer diskret enn mange tidligere macOS-infostealere.
Slik kan du beskytte deg
Jamf anbefaler å laste ned programvare kun fra pålitelige kilder, som Mac App Store eller utviklerens offisielle nettside. Samtidig er det viktig å være oppmerksom på falske domener som forsøker å etterligne kjente applikasjoner. Selv erfarne brukere kan bli lurt dersom de ikke kontrollerer nettadressen nøye.