PamStealer es un infostealer de dos etapas para macOS, documentado por Jamf Threat Labs el 2 de julio de 2026, que utiliza los Módulos de Autenticación Enchufables (PAM) de Apple para validar localmente las contraseña... Se distribuye desde un dominio de typosquatting (maccyapp[.]com) que suplanta al gestor de porta...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is PamStealer — the new macOS infostealer that validates stolen passwords through Apple's PA. Article summary: Here is the full fact-checked breakdown based on the Jamf Threat Labs report (July 2, 2026) and corroborating sources.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative
Un nuevo infostealer para macOS, denominado PamStealer, está circulando activamente y emplea una técnica particularmente astuta. En lugar de aceptar ciegamente cualquier contraseña que la víctima escriba en un cuadro de diálogo falso, la valida contra los propios Módulos de Autenticación Enchufables (PAM) de Apple antes de exfiltrarla. Esto significa que los atacantes solo obtienen credenciales funcionales, no errores tipográficos o señuelos. Documentado por primera vez por Jamf Threat Labs el 2 de julio de 2026 , PamStealer representa una evolución preocupante en el robo de credenciales en macOS.
El malware se distribuye desde un dominio de typosquatting — maccyapp[.]com — diseñado para suplantar al proyecto legítimo del gestor de portapapeles Maccy. El Maccy real solo se distribuye desde maccy.app, Homebrew o su repositorio oficial en GitHub . El sitio legítimo advierte explícitamente a los usuarios sobre estas páginas falsas
.
Cuando una víctima visita el sitio falso, se le sirve una imagen de disco (.dmg) que contiene un archivo AppleScript compilado llamado Maccy.scpt . El Maccy legítimo nunca ha distribuido un DMG; solo se envía como
Maccy.app.zip .
Al hacer doble clic, macOS abre los archivos .scpt en el Editor de Scripts por diseño. La parte visible del archivo muestra instrucciones con la marca que indican al usuario que presione ⌘+R para "comenzar", mientras que el código malicioso real está oculto muy abajo, después de un gran bloque de líneas en blanco . El texto también utiliza homoglifos griegos y cirílicos en la palabra "Maccy" para evadir los escáneres basados en texto
.
El infostealer de segunda etapa, basado en Rust y en formato Mach-O, recopila una amplia gama de datos sensibles :
pam_start, pam_authenticate, pam_end) sin actividad visible del shell ethereum-rpc.publicnode[.]com en la práctica Todos los datos robados se cifran con ChaCha20-Poly1305 y se exfiltran a través de HTTPS a endpoints C2 (dominios observados: avenger-sync[.]live y avengerflow[.]com), envueltos en un sobre JSON MacOSapp1{"data":"..."} .
Antes de lanzar la carga útil, el dropper firma ad-hoc el paquete de la aplicación falsa con codesign -fs - --deep. El malware también verifica la presencia de herramientas de depuración y la Protección de Integridad del Sistema antes de continuar
.
La carga útil de segunda etapa se coloca dentro de un paquete llamado Finder.app con el identificador de paquete com.apple.finder.monitor y el icono genuino Finder.icns copiado de /System/Library/CoreServices/ . Luego, genera
pbpaste para robar datos del portapapeles, por lo que el Monitor de Actividad puede mostrar un segundo proceso de Finder realizando lecturas del portapapeles, una anomalía muy clara .
La persistencia se establece a través de los Elementos de Inicio de Sesión (no mediante LaunchAgents/LaunchDaemons) utilizando tanto la API moderna SMAppService como la API heredada LSSharedFileList, con el malware empaquetado en: com.apple.finder.monitor y com.apple.security.daemon (suplantando a la Actualización de Software) . Debido a que el panel de Elementos de Inicio de Sesión en Configuración del Sistema no muestra las rutas completas, el malware aparece como entradas legítimas del sistema
.
curl/osascript maccy.app, o a través de Homebrew o el repositorio oficial de GitHub. El proyecto real es de código abierto (licencia MIT) y está dirigido por el desarrollador Alexey Rodionov (Identificador de Equipo MN3X4648SC) .scpt en el Editor de Scripts desde una imagen de disco descargada y presiones Ejecutar. Ninguna aplicación legítima de macOS te pide que hagas esto com.apple.finder.monitor) que no hayas agregado intencionalmente Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PamStealer es un infostealer de dos etapas para macOS, documentado por Jamf Threat Labs el 2 de julio de 2026, que utiliza los Módulos de Autenticación Enchufables (PAM) de Apple para validar localmente las contraseña...
PamStealer es un infostealer de dos etapas para macOS, documentado por Jamf Threat Labs el 2 de julio de 2026, que utiliza los Módulos de Autenticación Enchufables (PAM) de Apple para validar localmente las contraseña... Se distribuye desde un dominio de typosquatting (maccyapp[.]com) que suplanta al gestor de portapapeles legítimo Maccy; tras descargar una imagen de disco, el usuario es engañado para ejecutar un script de AppleScript...
El malware roba la contraseña de inicio de sesión, entradas del llavero, credenciales y cookies de navegadores, datos del portapapeles, archivos con Acceso Total al Disco e información de billeteras de criptomonedas,...