Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

Новый вредонос PamStealer атакует macOS через поддельный Maccy

Дата публикации: 04-07-2026 16:20:00

Исследователи Jamf нашли macOS-инфостилер PamStealer, который маскируется под Maccy и проверяет пароль через PAM. Разбираем, как он работает и как защититься.— Читать дальше «Новый вредонос PamStealer атакует macOS через поддельный Maccy»

Основное содержимое страницы с новостью.

Если вы скачиваете утилиты для macOS не из Mac App Store — проверьте источник перед установкой. Исследователи из компании Jamf обнаружили новый вредонос PamStealer, который распространяется под видом популярного менеджера буфера обмена Maccy и использует редкую комбинацию приёмов, чтобы остаться незамеченным.

PamStealer — это инфостилер (вредонос, крадущий данные), написанный на языке Rust. Он ориентирован на компьютеры Apple с процессорами Apple Silicon и собирает пароли, данные браузеров и, по данным исследователей, обращается к аккаунтам Ethereum.

Главная особенность новой угрозы — способ проверки пароля. Вместо запуска вспомогательных утилит вроде dscl или security вредонос использует встроенный в macOS интерфейс PAM (Pluggable Authentication Modules). Это делает проверку тише и оставляет меньше следов для защитных решений.

PamStealer — новый macOS-инфостилер, замаскированный под менеджер буфера обмена Maccy.

Первая стадия доставляется как AppleScript внутри образа диска DMG; запуск через Command-R обходит карантин macOS.

Вторая стадия написана на Rust, маскируется под Finder, шифрует связь с сервером управления и откладывает запрос полного доступа к диску до 40 минут.

Пароль жертвы проверяется локально через системный интерфейс PAM, без запуска дополнительных процессов.

Угроза нацелена на компьютеры Apple с процессорами Apple Silicon.

Как распространяется

Злоумышленники распространяют PamStealer в образе диска DMG, который выглядит как установщик Maccy. Внутри находится файл AppleScript (.scpt). При двойном клике macOS открывает его в Script Editor, а жертве предлагается нажать Command-R — якобы для запуска установки. Эта команда выполняет вредоносный код и снимает атрибут карантина com.apple.quarantine, который обычно предупреждает о запуске файлов из интернета.

Для загрузки второй стадии AppleScript содержит самодостаточный JXA (JavaScript for Automation) загрузчик. Он использует нативные Objective-C API вместо привычных shell-команд вроде curl или zsh, что ещё больше снижает заметность для защитных решений.

Что делает вторая стадия

Вторая стадия — компактный бинарник Mach-O для Apple Silicon. Он размещается внутри поддельного приложения, которое выдаёт себя за системный Finder: исследователи видели идентификаторы com.apple.finder.core и com.apple.finder.monitor. Поддельное приложение использует настоящую иконку Finder. Бинарник написан на Rust — для macOS-инфостилеров это относительно редкий выбор: чаще встречаются Swift, Go или Objective-C.

После запуска PamStealer показывает поддельный системный запрос пароля с текстом «Maccy wants to make changes. Enter your password to allow this». Если пароль неверный, запрос появляется снова. После успешной проверки вредонос выводит сообщение о повреждённом файле, чтобы жертва не заподозрила неладное.

Чтобы собрать больше данных, PamStealer запрашивает полный доступ к диску, но делает это с задержкой до 40 минут после запуска. Так временной разрыв между инфицированием и подозрительным действием затрудняет анализ инцидента.

Кто под угрозой

Угроза актуальна для пользователей macOS на чипах Apple Silicon, которые скачивают приложения со сторонних сайтов. Подлинный Maccy распространяется через официальный сайт и менеджер пакетов Homebrew; заражённый образ выдаёт себя за него, но получен из неизвестного источника.

Как защититься

  • Скачивайте приложения только с официальных сайтов или из Mac App Store.
  • Не вводите пароль администратора в запросах от незнакомых приложений.
  • Проверяйте кодовую подпись и нотаризацию перед установкой (Системные настройки → Конфиденциальность и безопасность).
  • Используйте Endpoint Detection and Response (EDR) для macOS.
  • Регулярно обновляйте macOS и приложения.

Часто задаваемые вопросы

1

Что такое PamStealer?

PamStealer — новый инфостилер для macOS, который маскируется под менеджер буфера обмена Maccy и крадёт пароли, данные браузеров и криптокошельков.

2

Как он попадает на компьютер?

Через поддельный образ диска DMG с файлом AppleScript. Жертва нажимает Command-R в Script Editor, что запускает вредоносный код и обходит карантин macOS.

3

Почему PAM — это важно?

Потому что проверка пароля происходит локально через системный интерфейс PAM, без запуска дополнительных процессов. Это делает атаку тише и заметить её сложнее.

4

Что делает вторая стадия?

Читает базы данных SQLite, пытается получить полный доступ к диску, крадёт пароли и данные кошельков, шифрует связь с сервером управления.

5

Как защититься?

Скачивать ПО из проверенных источников, не вводить пароль в подозрительных запросах, использовать EDR и держать систему в актуальном состоянии.

Выводы

Вредоносы для macOS продолжают развиваться, переходя на более тихие цепочки выполнения и нативные реализации, которые снижают возможности традиционного обнаружения, оставаясь совместимыми со стандартными функциями системы.

Исследователи JamfJamf Threat Labs

PamStealer демонстрирует, что macOS-угрозы продолжают эволюционировать: они всё чаще используют нативные API, уходят от shell-команд и затягивают временные интервалы между этапами атаки. Для пользователей главная защита — привычка устанавливать ПО только из проверенных источников и внимательность к системным запросам пароля.

Подробнее — в материале Ars Technica.

Проверьте, откуда скачаны ваши приложения для macOS.

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1Security Bite Podcast: Atomic Stealer is blurring the line between infostealers and trojans on Mac0513-04-2026
2macOS security flaw lets hackers disable Mac protection tools without a password-5725-06-2026
3ИИ-агент впервые провёл полную ransomware-атаку: разбор JadePuffer0704-07-2026
4Предназначенная для macOS малварь Gaslight обманывает ИИ-инструменты0726-06-2026
5AI-агенты сломали управление жизненным циклом идентификации. Что с этим делать0704-07-2026
6Kaspersky обнаружил в новых смартфонах шпиона, похищающего аккаунты0001-04-2025
7"Лаборатория Касперского" прогнозирует рекордный объем фишинговых атак на macOS0011-09-2019
8Нетайные переписки: «Лаборатория Касперского» выявила инструмент, позволяющий злоумышленникам получать доступ к корпоративной почте в Gmail0730-06-2026
9Нетайные переписки: «Лаборатория Касперского» выявила инструмент, позволяющий злоумышленникам получать доступ к корпоративной почте в Gmail0730-06-2026
10«Дыра», которую прежде считали мелкой, делает файерволлы бесполезными-2719-06-2026

Классификация: Пресс-релизы. Схожих патентов: 0. Схожих новостей: 10. Тональность: 0. Информативность: 7. Источник: tproger.ru.