Especialistas em segurança digital identificaram uma ameaça nunca vista antes que atinge computadores da Apple. O programa malicioso combina uma série de técnicas inteligentes para infectar Macs com um código personalizado desenvolvido para furtar credenciais de forma silenciosa.
A infecção ocorre em duas etapas distintas. Na primeira fase, o programa é distribuído por meio de uma imagem de disco que se faz passar por um aplicativo legítimo de gerenciamento de área de transferência para Macs. O código é compilado em AppleScript e se destaca pela maneira como entrega a segunda etapa do ataque.
O programa foi batizado de PamStealer porque o roubador de informações, escrito na linguagem de programação Rust, utiliza a interface de Módulos de Autenticação Conectáveis integrada ao macOS para validar a senha de login da vítima antes de enviá-la a um servidor controlado pelo atacante.
Uma cadeia de execução mais silenciosa
O uso combinado de imagem de disco e AppleScript é algo comum em programas maliciosos direcionados a Macs. No entanto, a maneira como o PamStealer une esses elementos para obter furtividade é considerada incomum. Quando o AppleScript é aberto, ele é executado no Editor de Scripts do macOS, local onde a funcionalidade maliciosa fica profundamente enterrada dentro do arquivo, dificultando sua detecção.
Fonte: Ars Technica
