Maccy.app.zipBeim Doppelklick auf die .scpt-Datei öffnet macOS standardmäßig den Script Editor. Der sichtbare Teil der Datei zeigt eine Gebrauchsanweisung im Corporate Design von Maccy, die den Benutzer auffordert, ⌘+R zu drücken, um „loszulegen“. Der eigentliche Schadcode versteckt sich erst nach einem großen Block leerer Zeilen weiter unten in der Datei . Der Text verwendet zudem griechische und kyrillische Homoglyphen im Wort „Maccy“, um textbasierte Scanner auszutricksen
.
Die zweite Stufe des Angriffs ist ein in Rust geschriebener Mach-O-Infostealer, der eine breite Palette sensibler Daten abgreift :
pam_start, pam_authenticate, pam_end) validiert – ohne sichtbare Terminal-Aktivität ethereum-rpc.publicnode[.]com aufnimmt Alle gestohlenen Daten werden mit ChaCha20-Poly1305 verschlüsselt und per HTTPS an C2-Server (beobachtete Domains: avenger-sync[.]live und avengerflow[.]com) gesendet, verpackt in einen JSON-Envelope mit dem Präfix MacOSapp1{"data":"..."} .
Bevor die Nutzlast gestartet wird, signiert der Dropper das gefälschte App-Bundle per Ad-hoc-Signatur mit codesign -fs - --deep. Die Malware prüft zudem auf Debugging-Tools und den Systemintegritätsschutz (SIP), bevor sie fortfährt
.
Die zweite Stufe wird in einem Bundle namens Finder.app mit der Bundle-ID com.apple.finder.monitor platziert. Das Icon wird vom echten Finder aus /System/Library/CoreServices/ kopiert . Im Anschluss startet der Schädling
pbpaste, um die Zwischenablage auszulesen. Im Aktivitätsprotokoll kann daher ein zweiter Finder-Prozess auffallen, der pbpaste ausführt – ein starkes Indiz .
PamStealer richtet eine Persistenz über Login-Artikel ein (nicht über LaunchAgents/LaunchDaemons) und nutzt dabei sowohl die moderne SMAppService-API als auch die veraltete LSSharedFileList-API. Die schädlichen Bundles heißen com.apple.finder.monitor und com.apple.security.daemon (als Software-Update getarnt) . Die Login-Artikel-Ansicht in den Systemeinstellungen zeigt keine vollständigen Pfade an, sodass die Einträge wie legitime Systemkomponenten wirken
.
curl/osascript-basierte Downloader .scpt-Dateien aus einem heruntergeladenen Disk-Image im Script Editor und führt sie aus. Keine legitime macOS-App verlangt so etwas com.apple.finder.monitor) und die ihr nicht selbst hinzugefügt habt