PamStealer on kaksivaiheinen macOS tietojenkalasteluohjelma, jonka Jamf Threat Labs paljasti 2. Haittaohjelma leviää typosquatting petossivuston (maccyapp[.]com) kautta, joka jäljittelee aitoa Maccy leikepöytäsovellusta.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is PamStealer — the new macOS infostealer that validates stolen passwords through Apple's PA. Article summary: Here is the full fact-checked breakdown based on the Jamf Threat Labs report (July 2, 2026) and corroborating sources.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative
Uusi macOS-haittaohjelma, PamStealer, on liikkeellä – ja sillä on erityisen ikävä temppu hihassaan. Sen sijaan, että se hyväksyisi sokeasti minkä tahansa uhrin kirjoittaman salasanan väärennettyyn ikkunaan, se tarkistaa salasanan Applen omaa Pluggable Authentication Modules (PAM) -järjestelmää vasten ennen sen lähettämistä. Tämä tarkoittaa, että hyökkääjät saavat vain toimivia tunnuksia, ei kirjoitusvirheitä tai harhautuksia. Jamf Threat Labs dokumentoi uhan ensimmäisen kerran 2. heinäkuuta 2026 . PamStealer edustaa huolestuttavaa kehityssuuntaa macOS:n tunnistetietovarkauksissa.
Haittaohjelmaa levitetään typosquatting-verkkotunnukselta – maccyapp[.]com – joka on suunniteltu jäljittelemään aitoa Maccy-leikepöytämanageri-projektia. Oikea Maccy on ladattavissa vain osoitteesta maccy.app, Homebrew'n kautta tai sen virallisesta GitHub-repositoriosta . Laillinen sivusto varoittaa käyttäjiä nimenomaan tällaisista huijaussivuista
.
Kun uhri vierailee väärennetyllä sivustolla, hänelle tarjotaan levykuvaa (.dmg), joka sisältää käännetyn AppleScript-tiedoston nimeltä Maccy.scpt . Aitoa Maccya ei ole koskaan jaeltu DMG-muodossa; se toimitetaan ainoastaan
Maccy.app.zip-pakettina .
Kun tiedosto avataan kaksoisnapsauttamalla, macOS avaa .scpt-tiedostot oletuksena Script Editorissa. Tiedoston näkyvä osa näyttää brändättyjä ohjeita, jotka kehottavat käyttäjää painamaan ⌘+R "aloittaakseen", kun taas varsinainen haitallinen koodi on piilotettu kauas tyhjien rivien jälkeen . Teksti käyttää myös kreikkalaisia ja kyrillisiä homoglyfejä sanassa "Maccy" ohittaakseen tekstipohjaiset tarkistukset
.
Toisen vaiheen Rust-pohjainen Mach-O-tietojenkalasteluohjelma kerää laajan valikoiman arkaluonteisia tietoja :
pam_start, pam_authenticate, pam_end) ilman näkyvää pääteikkunatoimintaa ethereum-rpc.publicnode[.]com Kaikki varastetut tiedot salataan ChaCha20-Poly1305-menetelmällä ja lähetetään HTTPS-yhteydellä C2-palvelimille (havaitut verkkotunnukset: avenger-sync[.]live ja avengerflow[.]com), käärittynä MacOSapp1{"data":"..."} JSON-kuoreen .
Ennen haitallisen kuorman käynnistämistä lataaja allekirjoittaa väärennetyn sovelluspaketin ad hoc -menetelmällä käyttäen komentoa codesign -fs - --deep. Haittaohjelma tarkistaa myös virheenkorjaustyökalut ja System Integrity Protection -suojauksen ennen toiminnan jatkamista
.
Toisen vaiheen kuorma sijoitetaan Finder.app-nimiseen nippuun, jonka nipputunniste on com.apple.finder.monitor ja jossa on aito Finder.icns-kuvake kopioituna /System/Library/CoreServices/-hakemistosta . Tämä prosessi käynnistää
pbpaste-työkalun varastaakseen leikepöydän tietoja, joten Aktiviteettivalvonnassa voi näkyä toinen Finder-prosessi, joka suorittaa leikepöydän lukutoimintoja – vahva poikkeama .
Pysyvyys saavutetaan Kirjautumiskohteiden kautta (ei LaunchAgents/LaunchDaemons -mekanismien) käyttäen sekä modernia SMAppService-rajapintaa että vanhempaa LSSharedFileList-rajapintaa. Haittaohjelma on paketoitu seuraaviin nippuihin: com.apple.finder.monitor ja com.apple.security.daemon (jäljitellen Ohjelmistopäivitystä) . Koska Järjestelmäasetusten Kirjautumiskohteet-näkymä ei näytä täydellisiä polkuja, haittaohjelma näyttää lailliselta järjestelmämerkinnältä
.
curl/osascript-pohjaiset lataajat maccy.app, Homebrew'n kautta tai virallisesta GitHub-repositoriosta. Aito projekti on avoimen lähdekoodin (MIT-lisenssi) ja sen ylläpitäjä on kehittäjä Alexey Rodionov (Tiimin tunniste MN3X4648SC) .scpt-tiedostoja Script Editorissa ladatusta levykuvasta ja paina Suorita-painiketta. Yksikään laillinen macOS-sovellus ei pyydä sinua tekemään näin com.apple.finder.monitor), varalta, joita et ole itse lisännyt Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PamStealer on kaksivaiheinen macOS tietojenkalasteluohjelma, jonka Jamf Threat Labs paljasti 2.
PamStealer on kaksivaiheinen macOS tietojenkalasteluohjelma, jonka Jamf Threat Labs paljasti 2. Haittaohjelma leviää typosquatting petossivuston (maccyapp[.]com) kautta, joka jäljittelee aitoa Maccy leikepöytäsovellusta.
PamStealer varastaa macOS kirjautumissalasanan, avainnipputiedot, selaimen tunnistetiedot, evästeet, lompakkotiedot ja leikepöydän sisällön.