← Voltar ao blog

PamStealer ataca usuários de Mac por meio do falso aplicativo Maccy

Um novo malware para macOS chamado PamStealer rouba credenciais de login ao imitar a popular ferramenta de área de transferência Maccy. Equipes de segurança devem monitorar execuções incomuns de AppleScript e acessos não autorizados ao PAM.

TL;DR

  • Novo malware para macOS 'PamStealer' se disfarça como o aplicativo de código aberto Maccy.
  • É distribuído como um arquivo malicioso de AppleScript para roubar senhas de login.
  • O malware abusa de verificações PAM para escalar privilégios e extrair credenciais.
  • Pesquisadores de segurança recomendam monitorar arquivos .scpt suspeitos e acessos anômalos ao sistema.
  • Organizações que utilizam dispositivos Mac devem atualizar regras de detecção e programas de conscientização dos usuários.

Os cibercriminosos continuam a evoluir suas táticas no macOS, com um novo malware de roubo de informações chamado PamStealer agora direcionando os usuários por meio de engenharia social e exploração em nível de sistema. Disfarçado como o utilitário legítimo de código aberto Maccy, esse malware utiliza o AppleScript para obter acesso inicial e depois eleva privilégios para extrair dados sensíveis de autenticação.

Uma vez executado, o PamStealer realiza atividades de reconhecimento antes de tentar acessar módulos do Protected Access Management (PAM), que são usados pelo macOS nos processos de autenticação. Isso permite que ele capture credenciais de login sem acionar alertas tradicionais de antivírus, tornando-o particularmente perigoso tanto para usuários individuais quanto para ambientes corporativos.

Vetor de Infecção e Comprometimento Inicial

  • O PamStealer é distribuído como um arquivo compilado de AppleScript (.scpt) 伪装成流行的开源剪贴板管理器Maccy。
  • Os usuários são induzidos a baixar o script malicioso de sites falsificados que imitam a página real do projeto Maccy。
  • O script, ao ser executado, não apresenta comportamentos claramente maliciosos imediatamente, evitando mecanismos básicos de detecção de segurança。

Roubo de Credenciais e Recomendações de Defesa

  • O malware rouba credenciais de login ao abusar das verificações PAM (Pluggable Authentication Modules) no macOS。
  • Ele tenta ler logs de autenticação do sistema e extrair informações confidenciais de credenciais para ataques posteriores。
  • As equipes de segurança são aconselhadas a monitorar atividades anômalas de AppleScript e acessos não autorizados ao diretório /etc/pam.d/。
  • Usuários finais devem evitar instalar aplicativos de fontes desconhecidas e verificar a autenticidade dos links de download。

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

PamStealer ataca usuários de Mac por meio do falso aplicativo Maccy — Agent Breach Blog | Agent Breach