맥OS 보안 전문 업체 잼프(Jamf)는 이전에 발견되지 않은 신종 악성코드 팸스틸러를 적발했다고 밝혔다. 이 악성코드는 맥 사용자의 로그인 암호를 탈취하도록 설계된 스텔스형 인포스틸러로, 정교한 위장 기법을 통해 감염을 시도한다.

팸스틸러는 두 단계로 나뉘어 배포된다. 첫 번째 단계는 맥용 클립보드 관리 도구인 매씨(Maccy)로 가장한 디스크 이미지 파일로 유포되며, 애플스크립트로 컴파일되어 있다. 악성코드 명칭은 러스트(Rust) 언어로 작성된 이 정보 탈취 도구가 맥OS에 내장된 플러그 인 가능 인증 모듈(PAM) 인터페이스를 이용해 대상 기기의 로그인 암호를 검증한 후 공격자 서버로 전송하는 방식에서 비롯됐다.

일반적인 맥 악성코드들이 셸 명령어인 curl이나 zsh를 사용하는 것과 달리, 팸스틸러는 애플스크립트 내에 자체 포함된 자바스크립트 오토메이션(JXA) 다운로더를 실행한다. 이는 네이티브 오브젝티브-C(Objective-C) API를 통해 악성 페이로드를 획득하고 준비한다. 러스트 기반의 2단계 페이로드와 PAM을 통해 로컬에서 자격증명을 검증하는 암호 캡처 워크플로우가 결합되면서, 일반적인 맥OS 정보 탈취 도구보다 훨씬 조용한 실행 체인을 만든다.

사용자가 신뢰할 수 있는 클립보드 관리 앱을 설치하려고 디스크 이미지를 더블클릭하면 즉시 커맨드-R 키를 누르도록 지시받는다. 이 명령은 애플스크립트 내 악성 코드를 직접 실행하며, 인터넷에서 다운로드한 실행 파일에 대한 경고와 제한을 제공하는 맥OS 속성인 'com.apple.quarantine'을 우회할 수 있다.

팸스틸러는 페이로드를 맥OS에 내장된 실제 컴포넌트로 위장한 앱 번들 내에 숨긴다. 악성코드 샘플마다 위장하는 컴포넌트가 달라진다. 예를 들어 파인더(Finder) 앱은 'com.apple.finder.core' 또는 'com.apple.finder.monitor' 아래에, 소프트웨어 업데이트 앱은 'com.apple.security.daemon' 아래에 위치하며, 이들은 숨겨진 상태에서 실행되면서 맥OS의 정품 파인더 아이콘을 표시한다.