IT-sikkerhet

Ny skadevare utgir seg for å være en populær app

Jamf Threat Labs har avdekket en ny type skadevare for macOS kalt PamStealer. Skadevaren utgir seg for å være den populære utklippstavleappen Maccy og er utviklet for å stjele passord og annen sensitiv informasjon fra Mac-brukere.

Utgir seg for å være en legitim app

PamStealer distribueres via en falsk nettside som etterligner den legitime Maccy-applikasjonen. Når brukeren laster ned og åpner programmet, starter en totrinns angrepskjede som i det skjulte laster ned og kjører den egentlige skadevaren.

Avansert metode for å stjele passord

Det som skiller PamStealer fra mange andre typer skadevare, er hvordan den håndterer innloggingsinformasjon. Skadevaren validerer først brukerens macOS-passord gjennom Apples innebygde autentiseringssystem (PAM) før informasjonen sendes videre til angriperen. I tillegg samler den inn data fra blant annet nettlesere og andre sensitive områder på enheten.

Vanskeligere å oppdage

Ifølge Jamf benytter PamStealer flere teknikker for å redusere synlige spor og gjøre aktiviteten vanskeligere å oppdage. Blant annet brukes innebygde macOS-funksjoner fremfor tradisjonelle kommandolinjeverktøy, noe som kan gjøre skadevaren mer diskret enn mange tidligere macOS-infostealere.

Slik kan du beskytte deg

Jamf anbefaler å laste ned programvare kun fra pålitelige kilder, som Mac App Store eller utviklerens offisielle nettside. Samtidig er det viktig å være oppmerksom på falske domener som forsøker å etterligne kjente applikasjoner. Selv erfarne brukere kan bli lurt dersom de ikke kontrollerer nettadressen nøye.

Kilde: Jamf blogg

Kontakt oss