Fałszywy Maccy dla macOS kradnie hasła i dane

Nowy malware podszywa się pod aplikację Maccy i może kraść hasła oraz dane z komputerów Mac.

Fałszywy Maccy dla macOS kradnie hasła i dane

Użytkownicy komputerów Mac powinni uważać na fałszywą wersję popularnej aplikacji Maccy. Eksperci z Jamf Threat Labs wykryli kampanię, w której cyberprzestępcy podszywają się pod ten program, aby zainstalować złośliwe oprogramowanie o nazwie PamStealer. Jego celem jest kradzież haseł oraz kluczy do portfeli kryptowalut.

Atak zaczyna się od strony internetowej, która wygląda niemal identycznie jak oficjalna witryna Maccy. Po pobraniu pliku użytkownik jest proszony o uruchomienie go w systemowym Edytorze skryptów. W rzeczywistości plik zawiera ukryty złośliwy kod.

Po uruchomieniu malware najpierw sprawdza, czy wpisane hasło do komputera jest poprawne, a następnie pobiera kolejne elementy programu. Robi to w sposób, który utrudnia wykrycie przez oprogramowanie zabezpieczające.

Drugi etap ataku został napisany w języku Rust i działa na komputerach Mac z procesorami Apple Silicon. Program podszywa się pod systemowe narzędzia, takie jak Finder lub Software Update, dzięki czemu wygląda wiarygodnie.

Po instalacji może przechwytywać zapisane w przeglądarkach loginy i hasła, dane z systemowego Pęku kluczy, monitorować zawartość schowka oraz przesyłać skradzione informacje na serwer cyberprzestępców. Jeśli wykryje, że działa na niewłaściwym komputerze, sam się wyłącza.

Złośliwe oprogramowanie próbuje również uzyskać pełny dostęp do dysku. W tym celu wyświetla fałszywy komunikat udający okno Findera. Może pojawić się nawet 40 minut po instalacji, dlatego użytkownik może nie skojarzyć go z wcześniej pobranym plikiem. Przyznanie takich uprawnień otwiera dostęp m.in. do aplikacji Mail, Wiadomości oraz kopii zapasowych Time Machine.

Jamf poinformował, że nie wykrył jeszcze aktywnych ataków z użyciem PamStealer, ale przekazał swoje ustalenia firmie Apple.

Eksperci zwracają uwagę, że podobnych kampanii jest coraz więcej. Niedawno wykryto sponsorowaną reklamę w serwisie X, która kierowała użytkowników na fałszywą stronę i instalowała inny wariant złośliwego oprogramowania. Cyberprzestępcy coraz częściej wykorzystują reklamy oraz strony wyglądające jak oficjalne serwisy, aby nakłonić użytkowników do pobrania niebezpiecznych aplikacji.

Jak się chronić? Przede wszystkim pobieraj aplikacje wyłącznie z oficjalnych stron lub zaufanych źródeł i zachowaj ostrożność, jeśli program prosi o uruchomienie skryptu w Edytorze skryptów Apple. Warto też dokładnie sprawdzać komunikaty z prośbą o podanie hasła lub nadanie pełnego dostępu do dysku. To właśnie takie okna wykorzystuje PamStealer, aby przejąć dane użytkownika.

Obserwuj nas na:

Share