PamStealer yang baru ditemukan bukanlah malware macOS biasa

Para peneliti telah menemukan malware macOS yang belum pernah dilihat sebelumnya yang menggabungkan serangkaian keahlian cerdas untuk menginfeksi Mac dengan kode pencuri kredensial yang dikembangkan secara khusus dan tersembunyi. Malware dikirimkan dalam dua tahap. Yang pertama didistribusikan dalam image disk yang menyamar sebagai Maccy, pengelola clipboard untuk Mac. Ini dikompilasi sebagai AppleScript yang terkenal karena cara penyampaian tahap kedua. Malware ini diberi nama PamStealer karena infostealer yang ditulis Rust menggunakan antarmuka Modul Otentikasi Pluggable yang dibangun di macOS untuk memvalidasi kata sandi masuk target sebelum mengirimkannya ke server yang dikendalikan penyerang. Rantai eksekusi yang lebih senyap Penggunaan image disk dan AppleScript adalah hal yang umum pada malware untuk Mac. Yang lebih tidak biasa adalah cara PamStealer menggabungkannya untuk mendapatkan kemampuan sembunyi-sembunyi. Saat AppleScript diklik dua kali, AppleScript akan dibuka di MacOS Script Editor, tempat fungsi berbahaya terkubur jauh di dalam file. “Daripada mengandalkan perintah shell seperti curl atau zsh, AppleScript mengeksekusi pengunduh JavaScript for Automation (JXA) mandiri yang mengambil dan mengatur muatan menggunakan API Objective-C asli,” tulis peneliti dari Jamf, sebuah perusahaan keamanan untuk pengguna macOS. “Dikombinasikan dengan tahap kedua berbasis Rust dan alur kerja pengambilan kata sandi yang memvalidasi kredensial secara lokal melalui PAM, hasilnya adalah rantai eksekusi yang lebih senyap dibandingkan yang biasanya kita amati pada pencuri macOS komoditas.” Saat pengguna, yang ingin menginstal pengelola clipboard yang tepercaya, menemukan image disk, mereka akan diminta untuk menekan Command-R segera setelah mengklik dua kali. Perintah ini mengeksekusi kode berbahaya di dalam AppleScript secara langsung. Hal ini juga memungkinkan eksekusi untuk melewati com.apple.quarantine, atribut macOS yang memberikan peringatan dan pembatasan ketika file yang dapat dieksekusi telah diunduh dari Internet. Seperti yang dijelaskan Jamf: PamStealer menggabungkan permukaan pengiriman yang baru muncul dengan muatan yang kurang familiar. Meskipun umpan .scpt dan Editor Skrip yang dapat diklik dibuat berdasarkan tradecraft yang sudah diadopsi di seluruh lanskap ancaman macOS, malware ini membedakan dirinya melalui dropper JXA mandiri, tahap kedua berbasis Rust, dan alur kerja pengambilan kata sandi yang memvalidasi kredensial secara lokal melalui PAM sebelum memanennya. Tahap kedua ini berupaya keras untuk tetap tersembunyi, menyamar sebagai Finder, mengenkripsi lalu lintas perintah-dan-kontrolnya, dan menahan perintah seperti permintaan Akses Disk Penuh selama empat puluh menit sehingga aktivitasnya tidak sejalan dengan peluncuran. Secara keseluruhan, perilaku ini menggambarkan bagaimana pencuri komoditas macOS terus berkembang, mengadopsi rantai eksekusi yang lebih senyap dan implementasi asli yang mengurangi peluang deteksi tradisional namun tetap kompatibel dengan fitur macOS standar. Tahap pertama menempatkan muatannya di dalam app bundle yang meniru komponen nyata yang ada di dalam macOS. Komponen berubah dari sampel ke sampel malware. Finder.app di bawah com.apple.finder.core atau com.apple.finder.monitor, dan Software Update.app di bawah com.apple.security.daemon, adalah dua contohnya. Dalam kedua kasus tersebut, mereka berjalan secara tersembunyi. Mereka juga menampilkan Finder.icns asli macOS sebagai ikonnya.
Diterbitkan : 2026-07-02 19:38:00
sumber : arstechnica.com



