SecBoard
Zurück zur Übersicht

PamStealer Uses Fake Maccy Sites and PAM Checks to Steal Mac Login Passwords

The Hacker News·
Originalartikel lesen bei The Hacker News

PamStealer, ein neuer macOS-Informationsdieb, tarnt sich als legitime Maccy-App, um Systeme zu infizieren. Er stiehlt Zugangsdaten und nutzt dafür gefälschte Webseiten und PAM-Überprüfungen. Mac-Nutzer sollten wachsam sein und Software nur aus vertrauenswürdigen Quellen herunterladen.

Kurzfassung

PamStealer ist ein neuer macOS-Informationsdieb, der sich als legitime Maccy-App tarnt, um Systeme zu infizieren. Er wird über gefälschte Webseiten verbreitet und stiehlt Anmeldekennwörter von Mac-Benutzern. Nutzer sollten Software nur aus vertrauenswürdigen Quellen herunterladen, um eine Infektion zu vermeiden.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Mac-Nutzer, die Software von nicht vertrauenswürdigen Quellen herunterladen, insbesondere wenn sie nach der Maccy-App suchen.

Warum relevant

Organisationen mit macOS-Endpunkten sind gefährdet, da gestohlene Anmeldeinformationen zu weiteren Kompromittierungen führen können. Die Nutzung gefälschter Webseiten zur Verbreitung erhöht das Risiko für Endbenutzer.

Realistisches Worst Case

Ein Mac-Benutzer lädt unwissentlich PamStealer herunter, was zum Diebstahl seiner Anmeldekennwörter führt. Diese gestohlenen Zugangsdaten könnten dann für den Zugriff auf andere Unternehmensressourcen oder persönliche Konten missbraucht werden.

Handlungsempfehlung

Informieren Sie Mac-Benutzer über die Risiken des Herunterladens von Software aus nicht vertrauenswürdigen Quellen. Implementieren und erzwingen Sie Richtlinien für den Software-Download, die nur genehmigte App Stores oder verifizierte Entwicklerquellen zulassen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Software-Installationsprotokolle auf macOS-Endpunkten auf unbekannte oder nicht autorisierte Installationen, insbesondere solche, die sich als Maccy ausgeben.
  • Validieren Sie, ob Ihre Endpunktsicherheitslösungen (EDR/AV) in der Lage sind, PamStealer oder ähnliche Informationsdiebe auf macOS zu erkennen und zu blockieren.
  • Führen Sie eine Überprüfung der DNS-Protokolle und Web-Proxy-Logs durch, um Zugriffe auf bekannte gefälschte Maccy-Webseiten zu identifizieren (sofern IOCs verfügbar sind, nicht im Artikel genannt).
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighPamStealer ... wird über gefälschte Maccy-Webseiten verbreitet.
Credential AccessT1003 OS Credential DumpingHighEr stiehlt Zugangsdaten und nutzt dafür ... PAM-Überprüfungen.
Defense EvasionT1036 MasqueradingHighPamStealer ... tarnt sich als legitime Maccy-App.
Offene Punkte
  • Es werden keine spezifischen IOCs (Indicators of Compromise) wie Hashes oder C2-Domains genannt.
  • Die genaue Methode der PAM-Überprüfung und wie diese zum Diebstahl von Zugangsdaten genutzt wird, ist nicht detailliert beschrieben.
  • Es werden keine spezifischen Versionen von macOS genannt, die betroffen sind.
  • Es werden keine spezifischen betroffenen Branchen oder geografischen Regionen genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Execution detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)