Jamf Threat Labs identificou um novo infostealer para macOS baseado em Rust chamado PamStealer, que se passa pelo gerenciador de área de transferência de código aberto Maccy. Em um relatório publicado na quinta-feira, a empresa de cibersegurança disse que a campanha usa um site falso para distribuir um arquivo AppleScript malicioso que pode roubar senhas e chaves de carteiras de criptomoedas de usuários de Mac. O malware valida as senhas de login das vítimas por meio dos Módulos Autenticáveis de Plug-in (PAM) do macOS antes de coletá-las, de acordo com a Jamf Threat Labs. A descoberta reflete uma tendência mais ampla de atacantes disfarçando malware como software legítimo e abusando de plataformas de desenvolvedores confiáveis e canais de publicidade.
De acordo com a Jamf Threat Labs, a campanha usa um site similar para distribuir uma imagem de disco contendo um arquivo AppleScript malicioso chamado Maccy.scpt. Quando aberto, o arquivo exibe instruções dizendo aos usuários para executá-lo no Script Editor da Apple, enquanto esconde o código malicioso mais abaixo no documento.
"Estamos rastreando este malware sob o nome PamStealer por um de seus comportamentos principais: validar a senha de login da vítima por meio dos Módulos Autenticáveis de Plug-in (PAM) do macOS antes de coletá-la", escreveu a Jamf Threat Labs no relatório.
O Diretor da Jamf Threat Labs, Jaron Bradley, disse ao Decrypt que os atacantes têm comprado espaço no Google Ad para atrair usuários a aplicativos maliciosos. "Recentemente, observamos anúncios maliciosos sendo hospedados no X também", disse Bradley. "Essas técnicas de engenharia social têm se mostrado altamente bem-sucedidas."
O malware usa JavaScript for Automation e APIs nativas do macOS para baixar um payload de segundo estágio sem depender de utilitários de shell comuns como curl ou zsh, reduzindo o número de processos que as ferramentas de segurança podem observar.
De acordo com o relatório, o segundo estágio é um binário baseado em Rust projetado para Macs com Apple Silicon que se disfarça de Finder ou Software Update. "Em vez de armazenar sua configuração em texto claro, o dropper deriva uma chave de uma impressão digital do host—incluindo sua arquitetura de CPU, localidade, layout de teclado e fuso horário—e a usa para desbloquear uma configuração criptografada e com verificação de integridade contendo a URL do payload e o caminho de instalação", disse a empresa.
Se o malware não puder verificar que está sendo executado em seu alvo pretendido, ele se desliga silenciosamente.
Uma vez instalado, o malware pode roubar credenciais de navegador e dados do Keychain, monitorar o conteúdo da área de transferência, estabelecer persistência e enviar informações roubadas a um servidor remoto de comando e controle usando comunicações criptografadas.
O malware tenta expandir seu acesso exibindo um alerta falso do Finder pedindo aos usuários que concedam Acesso Total ao Disco (Full Disk Access). O prompt pode aparecer até 40 minutos após a infecção, tornando menos provável que os usuários o associem ao download original. Se aprovado, o malware pode acessar dados protegidos, incluindo backups do Mail, Mensagens e Time Machine.
De acordo com Bradley, a Jamf não observou nenhuma evidência de que o PamStealer esteja ativo na natureza. A empresa notificou a Apple sobre suas descobertas. A Apple não respondeu imediatamente a um pedido de comentário do Decrypt.
A Jamf disse que está vendo técnicas de engenharia social semelhantes se espalharem para outras plataformas. Em uma postagem no X na semana passada, a empresa disse que estava investigando um anúncio patrocinado no X promovendo o DynamicLake que redirecionava usuários para dynamicmacisland[.]com, onde eram instruídos a abrir o Terminal e executar um comando de instalação.
"O anúncio foi entregue por meio de uma conta verificada no X, adicionando outra camada de confiança à engenharia social", escreveu a empresa. "A análise do payload revelou uma variante recente do Atomic (MacSync) Stealer."
As descobertas ocorrem em meio a uma crescente tendência de atacantes disfarçarem malware como software legítimo e abusarem de plataformas de desenvolvedores confiáveis e canais de publicidade. Campanhas recentes incluíram um repositório falso da OpenAI que alcançou o topo dos projetos em alta do Hugging Face antes de distribuir um infostealer baseado em Rust, uma extensão maliciosa do Visual Studio Code que o GitHub disse ter exposto cerca de 3.800 repositórios internos, e a campanha de cadeia de suprimentos de software Shai-Hulud visando ferramentas de desenvolvimento usadas por empresas de IA, incluindo OpenAI e Mistral AI.
O que é o malware PamStealer e como ele atinge usuários de Mac?
O PamStealer é um infostealer para macOS baseado em Rust identificado pela Jamf Threat Labs que se passa pelo gerenciador de área de transferência de código aberto Maccy. O malware é distribuído por meio de um site falso que entrega um arquivo AppleScript malicioso. Ele valida as senhas de login das vítimas por meio dos Módulos Autenticáveis de Plug-in (PAM) do macOS antes de roubar credenciais de navegador, dados do Keychain e monitorar o conteúdo da área de transferência.
Como o PamStealer evita a detecção por ferramentas de segurança?
De acordo com a Jamf Threat Labs, o PamStealer usa JavaScript for Automation e APIs nativas do macOS para baixar um payload de segundo estágio sem depender de utilitários de shell comuns como curl ou zsh, reduzindo o número de processos que as ferramentas de segurança podem observar. O malware também deriva uma chave da impressão digital do host para desbloquear uma configuração criptografada e se desliga se não puder verificar que está sendo executado em seu alvo pretendido.
A Jamf observou o PamStealer sendo usado em ataques ativos?
De acordo com o Diretor da Jamf Threat Labs, Jaron Bradley, a Jamf não observou nenhuma evidência de que o PamStealer esteja ativo na natureza. A empresa notificou a Apple sobre suas descobertas, mas a Apple não respondeu imediatamente a um pedido de comentário do Decrypt.
Notícias relacionadas
Zcash mira Mainnet Ironwood em 21 de julho de 2026 após falha no Orchard Pool
D3Lab Detecta Onda de Malware Tap-to-Pay que Mira Usuários Android na Europa
Peter Schiff critica memecoins de Trump como ferramenta de suborno
Vulnerabilidade Hinkal DeFi perde US$ 820 mil, 410 ETH envolvidos em lavagem de dinheiro.