PamStealer je nový macOS infostealer zdokumentovaný Jamf Threat Labs 2. července 2026, který využívá Apple PAM k lokálnímu ověření ukradených hesel – vyřazuje překlepy a neplatné údaje, útočník tak získává pouze funkč...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is PamStealer — the new macOS infostealer that validates stolen passwords through Apple's PA. Article summary: Here is the full fact-checked breakdown based on the Jamf Threat Labs report (July 2, 2026) and corroborating sources.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative
Na světě je nový macOS infostealer jménem PamStealer – a má obzvlášť zákeřný trik. Místo slepého sbírání hesel, která uživatel napíše do falešného dialogového okna, si je nejdříve lokálně ověří přímo přes Apple PAM (Pluggable Authentication Modules). Útočník tak získává jen funkční přihlašovací údaje, nikoli překlepy nebo falešné údaje . První zdokumentování této hrozby pochází od Jamf Threat Labs z 2. července 2026 a PamStealer představuje znepokojivý posun v krádeži hesel na macOS
.
Malware se šíří z typosquattingové domény – maccyapp[.]com – která se vydává za legitimní správce schránky Maccy. Pravý Maccy je k dispozici pouze na doméně maccy.app, přes Homebrew nebo na oficiálním GitHub repozitáři . Legitimní stránka výslovně varuje uživatele před těmito podvodnými kopiemi
.
Když oběť navštíví falešnou stránku, stáhne se jí disk image (.dmg) obsahující zkompilovaný AppleScript soubor pojmenovaný Maccy.scpt . Legitimní Maccy nikdy nedistribuoval DMG; dodává se pouze jako
Maccy.app.zip .
Po dvojkliku macOS standardně otevře .scpt soubory v Script Editoru. Viditelná část souboru obsahuje instrukci, aby uživatel stiskl ⌘+R pro „spuštění“, zatímco skutečný škodlivý kód je ukrytý o mnoho prázdných řádků níže . Text navíc používá řecké a cyrilické homoglyfy ve slově „Maccy“, čímž obchází textové skenery
.
Druhá fáze útoku – Rust-based Mach-O infostealer – sbírá široké spektrum citlivých dat :
pam_start, pam_authenticate, pam_end) bez viditelné aktivity v terminálu ethereum-rpc.publicnode[.]com Všechna ukradená data jsou šifrována algoritmem ChaCha20-Poly1305 a odesílána přes HTTPS na C2 endpointy (pozorované domény: avenger-sync[.]live a avengerflow[.]com) zabalená do JSON obálky MacOSapp1{"data":"..."} .
Před spuštěním payloadu dropper ad-hoc podepíše falešný aplikační bundle příkazem codesign -fs - --deep. Malware také před spuštěním kontroluje přítomností debugovacích nástrojů a System Integrity Protection
.
Payload druhé fáze je umístěn v bundle pojmenovaném Finder.app s bundle identifier com.apple.finder.monitor a s pravou ikonou Finder.icns zkopírovanou z /System/Library/CoreServices/ . Následně spouští
pbpaste pro krádež dat ze schránky – Activity Monitor tak může ukazovat druhý proces Finder provádějící čtení schránky, což je silná anomálie .
Perzistence je zajištěna pomocí Login Items (nikoli LaunchAgents/LaunchDaemons) s využitím moderního API SMAppService i staršího LSSharedFileList. Malware je vložen do com.apple.finder.monitor a com.apple.security.daemon (maskuje se jako Software Update) . V panelu Login Items v Nastavení systému se nezobrazují celé cesty, a malware tak vypadá jako legitimní systémová položka
.
curl/osascript downloadery maccy.app, nebo přes Homebrew / oficiální GitHub repozitář. Pravý projekt je open-source (MIT licence) a spravuje ho vývojář Alexey Rodionov (Team Identifier MN3X4648SC) .scpt soubory v Script Editoru z staženého disk image a nespouštějte je. Žádná legitimní macOS aplikace vás o to nežádá com.apple.finder.monitor), které jste vědomě nepřidali Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PamStealer je nový macOS infostealer zdokumentovaný Jamf Threat Labs 2. července 2026, který využívá Apple PAM k lokálnímu ověření ukradených hesel – vyřazuje překlepy a neplatné údaje, útočník tak získává pouze funkč...
PamStealer je nový macOS infostealer zdokumentovaný Jamf Threat Labs 2. července 2026, který využívá Apple PAM k lokálnímu ověření ukradených hesel – vyřazuje překlepy a neplatné údaje, útočník tak získává pouze funkč... Šíří se z typosquattingové domény maccyapp[.]com, která se vydává za oficiální stránku správce schránky Maccy.
Druhá fáze (Rust Mach O infostealer) kromě přihlašovacího hesla krade položky z klíčenky, přihlašovací údaje a cookies z prohlížečů, obsah schránky (pomocí pbpaste) a údaje o kryptoměnových peněženkách.