Cybersecurity-experts van Jamf Threat Labs hebben onlangs een opzienbarende ontdekking gedaan: een nieuw infostealer, genaamd PamStealer, dat zich voordoet als de populaire open-source clipboard manager, Maccy. Dit Rust-gebaseerde kwaadwillende software richt zich specifiek op macOS-gebruikers en is ontworpen om gevoelige gegevens, zoals wachtwoorden en crypto-walletsleutels, te stelen. De kwestie roept vragen op over de kwetsbaarheid van gebruikers in de huidige digitale omgeving, waarbij de belangen van zowel individuen als investeerders in de cryptomarkt op het spel staan.
De campagne rond PamStealer is tot in detail uitgewerkt. De malware wordt verspreid via een valse website die gebruikers naar een disk image leidt, die een kwaadaardig AppleScript-bestand bevat, Maccy.scpt. Dit bestand geeft instructies aan de gebruiker, waarin zij worden aangespoord om het bestand te openen in de Script Editor van Apple. Dit is een klassiek voorbeeld van social engineering — een techniek die zich richt op het misleiden van gebruikers door vertrouwen te wekken.
Jamf beschrijft de belangrijkste functie van PamStealer: de validatie van het inlogwachtwoord van het slachtoffer via de macOS Pluggable Authentication Modules (PAM) voordat het wordt gestolen. Dit toont aan hoe geavanceerd malware kan zijn; het maakt gebruik van JavaScript for Automation en inheemse macOS-API’s om een tweede payload te downloaden, zonder te leunen op gangbare shell-hulpmiddelen zoals curl of zsh. Dit vermijdt detectie door beveiligingssoftware — een zorgwekkende ontwikkeling die de effectiviteit van traditionele beveiligingstools in twijfel trekt.
Als het infected is, kan de malware niet alleen browsergegevens en Keychain-informatie stelen, maar ook de inhoud van het klembord monitoren en verbinding maken met een externe command-and-control-server via versleutelde communicatie. Opmerkelijk is dat wanneer de malware zijn doelwit niet kan verifiëren, deze zichzelf stilletjes afsluit. Dit benadrukt de sluwheid van hedendaagse malware, die niet alleen afhankelijk is van brute kracht, maar ook gebruikmaakt van geavanceerde methoden om in te breken en relevantie te behouden.
Een bijkomend gevaar is dat PamStealer probeert zijn toegang uit te breiden door gebruikers een nep-bericht van Finder voor te schotelen, waarin hen wordt gevraagd om Volledige Schijftoegang te verlenen. Dit vraagt om alertheid, vooral omdat deze prompt tot veertig minuten na infectie kan verschijnen, waardoor het voor gebruikers moeilijk wordt om een verband te leggen met hun oorspronkelijke download.
De bevindingen van Jamf zijn niet op zichzelf staand. Er is een duidelijke trend in de richting van het camoufleren van malware als legitieme software, en ook een misbruik van vertrouwde ontwikkelaarsplatforms en advertenties. De recente incidenten — zoals een valse OpenAI-repository en een schadelijke Visual Studio Code-extensie die duizenden interne repositories heeft blootgesteld — benadrukken de verscheidenheid aan technieken die aanvallers toepassen om hun doelen te bereiken. Deze stijgende lijn in cyberdreigingen vraagt om verhoogde waakzaamheid, niet alleen van individuele gebruikers, maar ook van de bredere gemeenschap van crypto-investeerders en beleidsmakers.
Wat is PamStealer en hoe werkt het?
PamStealer is een nieuw infostealer voor macOS dat zich voordoet als de Maccy clipboard manager. Het steelt wachtwoorden en crypto-walletsleutels door zich te verifiëren via de macOS Pluggable Authentication Modules (PAM) voordat het deze gegevens verzamelt.
Wat zijn de risico’s van deze malware voor investeerders?
Investoren zijn kwetsbaar voor aanvallen die hun gevoelige informatie kunnen compromitteren, waaronder wachtwoorden voor crypto-exchanges en wallets. Een succesvolle aanval kan leiden tot financiële verliezen en een afbrokkeling van het vertrouwen in de digitale economie.
Hoe kunnen gebruikers zich beschermen tegen deze bedreigingen?
Gebruikers moeten waakzaam zijn bij het downloaden van software, vooral als het gaat om open-source applicaties. Het is essentieel om alleen te downloaden van betrouwbare bronnen, evenals het gebruik van sterke, unieke wachtwoorden en tweefactorauthenticatie voor extra beveiliging.
