Если вы до сих пор верите, что macOS — это неприступная крепость, куда не дотягиваются руки хакеров, у нас плохие новости. Пока мы привыкли списывать подозрительную активность на «глюки системы», киберпреступники перешли на уровень глубокой интеграции с архитектурой Apple. Новый вредонос PamStealer — это не просто очередной стилер паролей, а хитрый «валидатор», который проверяет ваши данные в реальном времени. Разберемся, почему этот код на Rust меняет правила игры и как он обводит вокруг пальца даже опытных пользователей.
Эволюция угроз: от простых стилеров к системному взлому
Долгое время macOS считалась «безопасной гаванью», но архитектура Apple Silicon и новые механизмы защиты стали вызовом, который хакеры приняли с энтузиазмом. PamStealer — яркий пример того, как вредонос перестает быть «пылесосом» для файлов из ~/Library/Application Support и превращается в интеллектуальный инструмент, использующий системный интерфейс Pluggable Authentication Modules (PAM). В этой статье мы разберем, как именно этот паразит работает внутри вашей системы.
Двухэтапная доставка: маскировка под Maccy
Представьте: вы ищете удобный менеджер буфера обмена и скачиваете популярный Maccy с первого попавшегося сайта, игнорируя официальный GitHub. Именно на этом этапе ловушка захлопывается. Злоумышленники эксплуатируют доверчивость пользователей, превращая полезную утилиту в троянского коня.
Механика заражения
- Этап 1: AppleScript-обертка. DMG-образ запускает AppleScript. Поскольку система доверяет штатному «Редактору скриптов», Gatekeeper пропускает процесс как легитимный.
- Этап 2: Rust-пейлоад. Скрипт извлекает основной модуль на Rust. Это делает вредонос невидимым для антивирусов, заточенных под поиск классических бинарников.
Выбор Rust здесь не случаен — этот язык позволяет создавать компактные, «неудобные» для реверса файлы, которые работают молниеносно, не оставляя следов в памяти для стандартных мониторов активности.
Интеграция с PAM: «умный» взлом
Самое жуткое в PamStealer — это не кража паролей, а их верификация. Вредонос внедряется в процесс аутентификации macOS, проверяя украденные данные через системные вызовы. Если пароль не подходит, он не тратит ресурсы C2-сервера — он отсеивает мусор и отправляет злоумышленникам только «золотые» учетные данные.
# Пример концептуальной логики обращения к PAM# Вредонос пытается инициализировать сессию для проверки кредовpam_start("login", username, &conv, &pamh);pam_authenticate(pamh, 0);Защита в эпоху «неуязвимых» систем
PamStealer — это тревожный звонок для каждого пользователя Apple. Чтобы не стать жертвой, соблюдайте цифровую гигиену: скачивайте софт только с GitHub-репозиториев разработчиков или из App Store, всегда проверяйте подписи Developer ID в настройках безопасности и присмотритесь к современным EDR-решениям. Помните: в мире кибербезопасности «безопасных операционных систем» не существует — есть только те, которые требуют вашего внимания. Проверьте свои текущие процессы прямо сейчас — не скрывается ли среди них незваный гость?