La trappola della clipboard falsa: uno stealer per macOS che controlla le password sulla macchina che ha appena infettato
Una utility Mac camuffata, un payload in due fasi e la convalida locale delle password tramite PAM rivelano un approccio più furtivo al furto di credenziali.
Su macOS, una familiare app di produttività può essere sufficiente per aprire la porta. In questo caso, l'esca era una versione contraffatta di Maccy, un gestore degli appunti che molti utenti considererebbero software innocuo. Una volta avviato, il pacchetto si è dispiegato in una catena di furto di credenziali progettata non solo per afferrare i dati, ma per far sembrare il furto un normale passaggio di accesso.
Fatti rapidi
- PamStealer è uno stealer di informazioni per macOS descritto come mascherato da Maccy, un gestore degli appunti open source.
- Il malware usa una catena in due fasi, con un dropper AppleScript compilato che porta a un payload in Rust.
- I target di raccolta osservati includono credenziali, dati del browser e contenuti degli appunti.
- Il campione usa i Pluggable Authentication Modules di macOS, o PAM, per convalidare localmente le password rubate.
- Il repository di Maccy avverte gli utenti di siti falsi che impersonano il nome del progetto.
Ciò che rende interessante questo campione
I gestori degli appunti sono un'esca attraente perché si trovano vicino al materiale che gli utenti copiano e incollano ogni giorno. Questo può includere password, token di sessione, codici di recupero e altri frammenti che non dovrebbero mai finire nelle mani sbagliate. Una versione falsa di un'utility come Maccy non ha bisogno di exploit esotici se riesce semplicemente a convincere un utente a eseguirla.
La struttura tecnica conta. La prima fase è stata descritta come un dropper AppleScript compilato e confezionato in un'immagine disco. La seconda fase era un binario Mach-O arm64 offuscato, scritto in Rust. Questa combinazione indica un percorso di esecuzione nativo per macOS piuttosto che un semplice script-only grab, il che può rendere un campione più difficile da individuare durante un'ispezione superficiale.
Il comportamento più distintivo è il controllo della password. Invece di inviare le credenziali rubate direttamente a un verificatore remoto, il malware usa PAM sulla macchina locale per convalidare le password. PAM è il livello di autenticazione che molti sistemi simili a Unix usano per delegare le decisioni di accesso a moduli locali e catene di policy. Dal punto di vista di un difensore, questo significa che un prompt della password può sembrare normale mentre il malware conferma silenziosamente se il segreto catturato vale la pena di essere conservato.
Non si tratta solo di una storia di furto. È una storia di fiducia. L'utility falsa, lo scripting nativo e il controllo di autenticazione locale mostrano insieme come un malware dall'aspetto comune possa prendere in prestito la forma di software legittimo. Questo rende l'igiene dei download, i controlli sulla firma del codice e le verifiche sulla provenienza del software più importanti che mai per gli utenti e gli amministratori macOS.
Le informazioni disponibili supportano un'analisi del rischio, non un giudizio definitivo su ogni possibile percorso di infezione o effetto a valle. Ciò che stabiliscono è che il campione è stato costruito per ridurre il rumore mentre raccoglieva dati di alto valore dall'host stesso.
Conclusione
PamStealer ricorda che il furto di credenziali moderno non inizia sempre con un exploit rumoroso. A volte comincia con un'app dall'aspetto fidato, un prompt familiare e un passaggio di convalida locale che rende le password rubate più facili da distinguere da quelle inutili. La lezione più ampia è semplice: su macOS, il download più sicuro è ancora quello che puoi verificare prima di eseguirlo.
TECHCROOK
Hardware security key: Un piccolo dispositivo USB/NFC per l'autenticazione a due fattori sugli account importanti. Aggiunge un passaggio di accesso fisico più difficile da intercettare rispetto alle sole password ed è ampiamente usato con email, gestori di password e account amministrativi.
WIKICROOK
- Infostealer: Malware progettato per raccogliere credenziali, artefatti del browser e altri dati sensibili da un dispositivo infetto.
- PAM: Pluggable Authentication Modules, un framework che consente al software locale di chiedere al sistema operativo di verificare le credenziali.
- Mach-O: Il formato di file eseguibile usato da macOS per binari e app native.
- AppleScript: Un linguaggio di automazione per macOS che può controllare app e azioni di sistema.
- Immagine disco (DMG): Un contenitore di file macOS confezionato, spesso usato per distribuire app e installer.




