🍏 Стілер PamStealer атакує macOS через фейкові копії утиліти Maccy

Виявлено новий інфостілер PamStealer для macOS, який поширюється через фішингові сайти під виглядом утиліти Maccy. Малварь використовує файл AppleScript, запуск якого через вбудований редактор дозволяє обійти фільтри Gatekeeper та карантинні мітки Apple. Скрипт виконується лише на архітектурі Apple Silicon і має вбудоване географічне обмеження — він припиняє роботу, якщо мовні пакети чи часовий пояс пристрою належать до країн Східної Європи.

Друга стадія атаки розгортає Rust-модуль під виглядом Finder для крадіжки зв’язки ключів Keychain, сесій та криптогаманців. Головна особливість — крадіжка пароля через вікно запиту, що локально перевіряє правильність вводу за допомогою системного PAM API. Отримавши пароль, шкідник registers автозапуск та імітує системне повідомлення про те, що завантажений файл пошкоджено, змушуючи жертву самостійно видалити інструмент і приховати факт злому.