Jak usunąć malware PamStealer (Mac)

Wirus Mac

Znany również jako: wirus PamStealer

Poziom uszkodzenia:

Otrzymaj bezpłatne skanowanie i sprawdź, czy twój komputer jest zainfekowany.

USUŃ TO TERAZ

Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Czym jest malware PamStealer?

PamStealer to dwuetapowy stealer informacji, który atakuje użytkowników systemu macOS. Zgodnie z badaniami opublikowanymi przez Jamf Threat Labs, malware podszywa się pod Maccy, prawdziwy menedżer schowka o otwartym kodzie źródłowym, aby nakłonić ofiary do samodzielnego jego uruchomienia.

Pierwszy etap to skompilowany AppleScript, który pobiera drugi ładunek oparty na języku Rust. Jeśli PamStealer zostanie wykryty na komputerze Mac, należy go natychmiast usunąć.

Fałszywa strona internetowa wykorzystywana do dystrybucji malware PamStealer

Informacje ogólne o PamStealer

Badacze z firmy Jamf odkryli, że PamStealer jest dostarczany wewnątrz obrazu dysku zawierającego plik o nazwie Maccy.scpt. Ofiary są instruowane, aby otworzyć ten plik w Edytorze skryptów i nacisnąć ⌘+R, aby „rozpocząć", co w rzeczywistości uruchamia złośliwy skrypt.

Po uruchomieniu pierwszy etap profiluje komputer Mac, sprawdzając architekturę procesora, język, układ klawiatury i strefę czasową. Jeśli urządzenie wydaje się znajdować w Rosji, Białorusi, Kazachstanie lub sąsiednich krajach, malware po prostu przestaje działać.

Skrypt sprawdza również obecność narzędzi debugowania oraz System Integrity Protection przed pobraniem drugiego etapu - pliku wykonywalnego Mach-O napisanego w języku Rust. Ten etap posiada tymczasowy (ad hoc) podpis kodu i jest ukryty wewnątrz fałszywego folderu systemowego stworzonego tak, aby przypominał Finder lub komponent Software Update.

Jakie dane kradnie PamStealer?

PamStealer został stworzony do kradzieży szerokiego zakresu poufnych informacji. Odczytuje dane logowania bezpośrednio poprzez system PAM systemu macOS, bez potrzeby otwierania widocznego okna Terminala.

Malware otwiera również bazy danych poświadczeń przeglądarki za pomocą SQLite, aby przechwycić zapisane hasła, pliki cookie oraz dane należące do rozszerzeń portfeli kryptowalut. Wielokrotnie uruchamia polecenie pbpaste, aby monitorować i kopiować wszystko, co zostanie umieszczone w schowku.

Dodatkowo PamStealer ładuje framework Security firmy Apple w czasie działania, aby wyciągnąć dane z Keychain, wbudowanego w macOS menedżera haseł. Jeśli ofiara później przyzna pełny dostęp do dysku (Full Disk Access), malware może również dotrzeć do chronionych plików w innych miejscach systemu.

W jaki sposób PamStealer unika wykrycia?

Malware polega na opóźnionym żądaniu uprawnień. Zamiast od razu prosić o pełny dostęp do dysku, może czekać do 40 minut przed wyświetleniem monitu, co utrudnia powiązanie tego żądania z pierwotnym pobraniem.

PamStealer wyświetla również fałszywy komunikat o błędzie w stylu Gatekeeper jako przynętę oraz maskuje swoje monity o autoryzację, używając natywnego okna alertu macOS, tak aby wyglądały jak zwykłe żądanie systemowe, a nie pochodzące od nieznanego oprogramowania.

Według Jamf fałszywa strona internetowa używała nawet greckich i cyrylicznych znaków przypominających łacińskie - technika znana jako atak homoglifowy - w częściach swojej zawartości, aby przemknąć się obok automatycznych skanerów opartych na tekście.

Trwałość i komunikacja z atakującymi

Aby pozostać zainstalowanym po ponownym uruchomieniu, PamStealer rejestruje się jako element logowania dwukrotnie - raz poprzez nowoczesne API ServiceManagement firmy Apple, a raz poprzez starszy, przestarzały interfejs dołączony do pomocniczego pliku wykonywalnego.

Skradzione dane są wysyłane na zdalny serwer pod adresem avenger-sync[.]live, przekierowywane przez Cloudflare i szyfrowane za pomocą ChaCha20-Poly1305. Konfiguracja malware wymienia również punkty końcowe sieci Ethereum, co wskazuje na zainteresowanie kradzieżą kryptowalut.

Podsumowanie zagrożenia:
Nazwa wirus PamStealer
Typ Zagrożenia Malware dla systemu Mac, wirus dla systemu Mac, stealer, wirus kradnący hasła.
Objawy Stealery są zaprojektowane tak, aby ukradkiem infiltrować komputer ofiary i pozostawać niezauważone, dlatego na zainfekowanym urządzeniu nie są wyraźnie widoczne żadne szczególne objawy.
Nazwy Wykrycia Combo Cleaner (Trojan.GenericKD.80674484), ESET-NOD32 (OSX/PSW.Agent.IY Trojan), Emsisoft (Trojan.GenericKD.80674484 (B)), Symantec (OSX.Trojan.Gen), Pełna Lista Wykryć (VirusTotal)
Możliwe Metody Dystrybucji Fałszywe strony internetowe podszywające się pod legalne oprogramowanie, zamaskowane pliki obrazu dysku (DMG), inżynieria społeczna.
Szkody Skradzione hasła i informacje bankowe, kradzież tożsamości, skradzione kryptowaluty, straty finansowe, możliwe dodatkowe infekcje.
Usuwanie malware (Windows)

Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner.

Pobierz Combo Cleaner

Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Podsumowanie

PamStealer to malware, które może po cichu zbierać hasła, dane z Keychain, informacje z przeglądarki i portfeli kryptowalut oraz zawartość schowka z zainfekowanego komputera Mac. Ponieważ ukrywa się za fałszywą kopią prawdziwej aplikacji i opóźnia swoje najbardziej podejrzane żądania, ofiary mogą nie zauważyć niczego niepokojącego, dopóki ich konta lub środki nie zostaną już przejęte.

Kilka przykładów stealerów kradnących informacje to ShadeStager, Infiniti oraz Miolab.

W jaki sposób PamStealer przedostał się do mojego urządzenia?

PamStealer rozprzestrzenia się poprzez fałszywą stronę internetową, maccyapp[.]com, stworzoną tak, aby wyglądała jak strona pobierania Maccy - legalnego i popularnego menedżera schowka dla systemu Mac. Prawdziwy projekt Maccy jest dystrybuowany wyłącznie z maccy.app, a jego oficjalna strona nawet ostrzega odwiedzających przed stronami naśladującymi.

Ofiary, które pobiorą fałszywy obraz dysku, są instruowane, aby otworzyć plik o nazwie Maccy.scpt w Edytorze skryptów i nacisnąć ⌘+R, aby „rozpocząć". Ten krok jest tym, co w rzeczywistości uruchamia złośliwy skrypt i rozpoczyna infekcję zamiast instalacji prawdziwej aplikacji.

Poza tą konkretną kampanią malware dla systemu Mac jest często rozpowszechniane w ten sam sposób: fałszywe strony pobierania, złośliwe reklamy, złamane oprogramowanie, fałszywe aktualizacje przeglądarki lub systemu oraz zamaskowane załączniki w e-mailach i wiadomościach phishingowych.

Jak uniknąć malware?

Pobieraj oprogramowanie wyłącznie z oficjalnej strony internetowej dewelopera lub ze sklepu Mac App Store i dokładnie sprawdzaj domenę przed zaufaniem stronie pobierania, zwłaszcza w przypadku mniejszych, mniej znanych narzędzi.

Uważaj na każdy instalator, który prosi o otwarcie i ręczne uruchomienie skryptu za pomocą Edytora skryptów lub Terminala. Legalne aplikacje dla systemu Mac nie potrzebują tego rodzaju ręcznego kroku, aby „rozpocząć".

Jeśli komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie wyeliminować wszystkie zagrożenia.

Fałszywa strona internetowa (maccyapp[.]com) dystrybuująca PamStealer, imitująca prawdziwą stronę pobierania Maccy:

Fałszywa strona maccyapp.com dystrybuująca malware PamStealer

Zwodnicze instrukcje pokazywane ofiarom, aby skłonić je do ręcznego uruchomienia złośliwego skryptu:

Fałszywe instrukcje krok po kroku używane do uruchomienia PamStealer

Autentyczna strona Maccy (maccy.app) ostrzegająca odwiedzających przed stronami naśladującymi:

Oficjalna strona Maccy ostrzegająca przed fałszywymi stronami

Natychmiastowe automatyczne usunięcie malware:

Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:

POBIERZ Combo Cleaner

Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Szybkie menu:

Usuwanie niechcianych aplikacji:

Usuń potencjalnie niechciane aplikacje z folderu „Aplikacje":

Ręczne usuwanie złośliwych aplikacji dla systemu Mac

Kliknij ikonę Finder. W oknie Finder wybierz „Aplikacje". W folderze aplikacji poszukaj „MPlayerX", „NicePlayer" lub innych podejrzanych aplikacji i przeciągnij je do Kosza. Po usunięciu potencjalnie niechcianych aplikacji powodujących reklamy online, przeskanuj komputer Mac w poszukiwaniu wszelkich pozostałych niechcianych komponentów.

POBIERZ narzędzie do usuwania złośliwego oprogramowania

Combo Cleaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Często zadawane pytania (FAQ)

Moje urządzenie jest zainfekowane malware PamStealer, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

To całkowicie usunie PamStealer, ale również wymaże wszystko, co jest przechowywane na urządzeniu. Przed podjęciem tak drastycznego kroku, ogólnie zaleca się najpierw wypróbować niezawodne narzędzie antymalware, takie jak Combo Cleaner.

Jakie są największe problemy, które może powodować malware?

PamStealer wyodrębnia i wykrada dane z zainfekowanych urządzeń, w tym hasła, wpisy Keychain, dane przeglądarki oraz zawartość schowka. Infekcje tego rodzaju mogą prowadzić do przejęcia kont, kradzieży kryptowalut, kradzieży tożsamości i innych strat finansowych.

Jaki jest cel malware PamStealer?

Celem PamStealer jest kradzież poufnych danych z zainfekowanych urządzeń macOS, w tym danych logowania, haseł Keychain, danych przeglądarki i portfeli kryptowalut oraz wszystkiego, co zostanie skopiowane do schowka.

W jaki sposób malware PamStealer przedostał się do mojego komputera?

PamStealer jest dystrybuowany poprzez fałszywą stronę internetową, która imituje prawdziwy menedżer schowka Maccy. Ofiary są nakłaniane do otwarcia zamaskowanego skryptu w Edytorze skryptów i ręcznego uruchomienia go, co po cichu instaluje malware w tle.

Czy Combo Cleaner ochroni mnie przed malware?

Tak, Combo Cleaner może wykryć i usunąć większość znanych infekcji malware. Pamiętaj, że przeprowadzenie pełnego skanowania systemu jest niezbędne, ponieważ zaawansowane malware, takie jak PamStealer, zazwyczaj ukrywa się głęboko w systemie.

Udostępnij:

facebook
X (Twitter)
linkedin
skopiuj link
Tomas Meskauskas

Tomas Meskauskas

Ekspert ds. bezpieczeństwa, profesjonalny analityk złośliwego oprogramowania

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online.

▼ Pokaż dyskusję

Portal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.

Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

Przekaż darowiznę