Giriş
Yeni keşfedilen bir macOS bilgi çalıcısı olan PamStealer, kullanıcıların hassas verilerini çalmak için akıllı teknikler kullanarak sistemleri enfekte etmektedir. Bu tür tehditler, kullanıcıların güvenliğini önemli ölçüde tehdit etmekte ve siber güvenlik uzmanlarının dikkatini çekmektedir.
Saldırı Nasıl Çalışıyor?
PamStealer, CVE kodları ile takip edilmemekte fakat özellikleri tehlike oluşturduğu için üzerinde durulması gereken bir yazılımdır. Jamf Threat Labs tarafından tespit edilen bu kötü amaçlı yazılım, derlenmiş bir AppleScript (.scpt) dosyası olarak Maccy adlı meşru bir açık kaynak pano yöneticisini taklit etmektedir. PamStealer, kurbanın giriş parolasını macOS Pluggable Authentication Modules (PAM) üzerinden doğruladıktan sonra çalmaktadır.
Kötü amaçlı yazılım, iki aşamada yayılmaktadır:
- Disk görüntüsü içinde yer alan bir derlenmiş AppleScript, bir takip yükünün indirilmesini sağlar.
- Rust tabanlı ikinci aşama, kimlik bilgisi hırsızlığı, tarayıcı verisi toplama, sürekli etkinlik sağlama ve veri sızdırma işlevselliğine sahiptir.
Bu kötü amaçlı yazılımın ilk erişim vektörü, maccyapp[.]com gibi Maccy’nin sahte bir sitesi aracılığıyla yapılmaktadır. Disk görüntüsündeki AppleScript (“Maccy.scpt”), görsel olarak JavaScript for Automation (JXA) indirme işlemini başlatmaktadır.
Etkilenen Sistemler
PamStealer’ın çalışması için sistem tanıma özellikleri bulunmaktadır. Uygulama, sadece Apple Silicon üzerinde çalışmak üzere yapılandırılmıştır. Sistemin CPU mimarisi, yerel ayarları ve diğer veriler algılandıktan sonra, kötü amaçlı yükü barındıran URL ve yükleme yolu içeren bir şifreli yapılandırmayı açmak için bir anahtar türetilmektedir. Intel tabanlı Mac’lerde, türetilen anahtar yapılandırmayı açamadığı için, kötü amaçlı yazılım sona ermektedir.
Bu siber saldırı, yalnızca bireysel sistemleri değil, aynı zamanda aşağıdaki bölgeleri ve onların kullanıcılarını hedef almıştır:
- Rusya
- Belarus
- Kazakhstan
- Ermenistan
- Azerbaycan
- Kırgızistan
- Moldova
- Tacikistan
- Uzbekistan
- Türkmenistan
- Gürcistan
Çözüm ve Korunma
PamStealer’ın kötü amaçlı yazılımı bir kullanıcıdan sistem parolasını almak için bir dizi hile kullanmaktadır. Kullanıcı, sistem parolasını girdikten sonra, bu parola PAM API’si üzerinden doğrulanmaktadır. Eğer doğrulama başarısız olursa, kullanıcıdan parolayı tekrar girmesi istenmektedir.
Bu nedenle, kullanıcılara şu önlemleri alması önerilmektedir:
- Resmi web siteleri dışında yazılım indirmeyin. maccy.app dışında olan siteler sahte olabilir.
- Sistem güncellemelerini düzenli olarak yapın.
- Güvenlik duvarınızı etkin tutun.
- Şüpheli e-postalardaki bağlantılara veya dosyalara tıklamayın.
Kötü niyetli yazılım çalıştıktan sonra, kullanıcıya sahte bir uyarı ile karşılaşmaktadır: “Maccy has hasar görmüş ve açılamıyor. Çöp kutusuna taşımalısınız.” Bu mesaj, kullanıcının tuzağı bırakmasına neden olmayı hedeflemektedir.
Sonuç olarak, eğer PamStealer veya benzeri bir tehdit ile karşı karşıyaysanız, sisteminizi güncelleyin ve tehlikeli olabilecek tüm portları kapatın. Güvenliğinizi tehdit eden bu tür yazılımlara karşı daima dikkatli olun.


