PAM使いのPamStealer:「合格」するまで帰らない

PamStealerは、macOSを標的とする新しいタイプのインフォスティーラー型マルウェアです。
ユーザが気づかないうちに正規のアプリ(クリップボード管理ツール「Maccy」など) に偽装して侵入し、システムログイン時の認証情報を盗み出す悪質なプログラムです。
以前から、インフォスティーラー型マルウェアは多数確認されています。
今回のマルウェアはどういったところに違いがあるのでしょうか。

  • パスワードの盗み方
    • 従来のmacOS向けマルウェア
      本物っぽい偽画面を出し、ユーザが入力した文字をそのまま(間違っていても)ハッカーに送信します。
    • PamStealer
      macOSの内部システム(PAM)を悪用します。
      入力されたパスワードが本当に正しいかその場でテストするのです。
      その役割をあらかじめ持っている侵害環境のシステム標準の機能を使って、です。

セキュリティの突破は、AppleScript(自動化ツール)を悪用して実現します。
ユーザに画面上で「Command + R(実行)」を押すよう誘導し、ユーザ自身の手でセキュリティの網を解除させます。
いわゆる「ClickFix」と呼ばれる手口です
ここだけを見る場合、PamStealerには特に特徴的な部分はないと思えます。

しかし、今回のマルウェアはmacOSの正規のシステム機能であるPAM(Pluggable Authentication Modules)の仕組みを悪用し、「認証エージェント」として振る舞うという新しい技術を導入しています。
ちなみにPAMは、macOSだけでなくLinuxなどのサーバ用OSでもログイン認証の根幹を担っている非常に重要で強力なシステムです。
ハッカーにとって、盗んだパスワードが間違っていたり、大文字小文字の入力ミスだったりすると、後から悪用する際に二度手間になります。
今回のマルウェアは「正しいパスワードが入力されるまで、ポップアップを絶対に閉じずに何度もやり直させる」という仕組みにしたことで、ハッカーは一発でターゲットのmacOSの最高の権限を手に入れることができます。

ユーザに特定の操作をさせる(ClickFix的な)入り口の手口自体は、最近のトレンドの使い回しです。
しかし、「中に入り込んだ後、macOSの認証機能を使ってパスワードの正誤をテストする」という仕組みを採用した点が、このマルウェアの怖いところです。

Fake Mac Clipboard App Delivers New Password-Stealing Malware
https://decrypt.co/372743/fake-mac-clipboard-app-delivers-password-stealing-malware

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。