PamStealer:PAMを介して認証情報を検証するRustベースのmacOS情報窃取型マルウェア
Jamf Threat Labsが、PamStealerと呼ばれるRustベースのmacOS情報窃取型マルウェアを発見しました。このマルウェアは、AppleScriptとPAM(Pluggable Authentication Module)を利用してユーザーの認証情報を検証・窃取し、感染したシステムから機密データを収集します。
背景メモ
- JamfはApple端末管理(MDM)専業の大手セキュリティ企業。本稿は同社の脅威リサーチチームによる新種マルウェアの分析報告。
- PamStealerはRust言語で書かれたmacOS向け情報窃取型マルウェア。.dmgファイルに偽装して配布され、インストール時にPAM(Pluggable Authentication Modules:macOSの認証モジュール)を悪用し、正規のパスワード入力を求めるポップアップを表示。ユーザーが入力したパスワードを窃取した上で、キーチェーンやブラウザ保存パスワード、暗号通貨ウォレットなどを標的とする。
- 特筆すべきは、マルウェアが単にパスワードを奪うだけでなく、盗んだ資格情報で自らPAM認証を通り「正規の処理」として振る舞う点。またRustで書かれているためクロスプラットフォーム化が容易で、従来のmacOS向けマルウェアより解析が難しい。
- macOSユーザーは「システムがパスワードを要求してきた」という表示を無批判に信じがちだが、本マルウェアはその心理を突く。AppleはmacOSのセキュリティモデルを強化してきたが、PAMレベルの認証プロンプトは正規のものと区別がつきにくいという根本的な課題があらわになった。