PamStealer היא תוכנת ריגול דו שלבית ל macOS שתועדה לראשונה על ידי Jamf Threat Labs ב 2 ביולי 2026; היא משתמשת ב PAM של אפל כדי לאמת סיסמאות מקומית לפני גניבתן, מה שמבטיח שרק פרטי כניסה תקפים נשלחים לתוקפים ההדבקה מתבצעת דרך אתר מתחזה (maccyapp[.]com) שמחקה את מנהל הלוח Maccy; המשתמש מוריד קובץ AppleScript (.scpt) שכ...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is PamStealer — the new macOS infostealer that validates stolen passwords through Apple's PA. Article summary: Here is the full fact-checked breakdown based on the Jamf Threat Labs report (July 2, 2026) and corroborating sources.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative
תוכנת ריגול חדשה ל-macOS בשם PamStealer נמצאת בהפצה פעילה, והיא מסוכנת במיוחד. בניגוד לתוכנות ריגול אחרות שמסתפקות בגניבת כל סיסמה שהקורבן מקליד, PamStealer מאמתת את הסיסמה מול מערכת האימות של macOS (PAM) לפני שהיא שולחת אותה לתוקפים. כך, רק סיסמאות תקפות עוזבות את המחשב שלך, ולא שגיאות הקלדה או סיסמאות בדויות.
PamStealer תועדה לראשונה על ידי חוקרי Jamf Threat Labs ב-2 ביולי 2026 ומייצגת אבולוציה מדאיגה בגניבת זהויות בפלטפורמת Mac.
התוכנה הזדונית מופצת מאתר מתחזה — maccyapp[.]com — שמחקה את הפרויקט החוקי של מנהל הלוח Maccy. Maccy האמיתי זמין רק מ-maccy.app, Homebrew או המאגר הרשמי ב-GitHub . האתר החוקי מזהיר במפורש מפני אתרים מתחזים
.
כשהקורבן מגיע לאתר המזויף, הוא מוריד תמונת דיסק (.dmg) שמכילה קובץ AppleScript מהודר בשם Maccy.scpt . Maccy האמיתי מעולם לא הופץ כ-DMG; הוא זמין רק כקובץ
Maccy.app.zip .
לחיצה כפולה על הקובץ פותחת אותו ב-Script Editor (עורך הסקריפטים של macOS). החלק הגלוי של הקובץ מציג הוראות מותגיות מזויפות שאומרות למשתמש ללחוץ על ⌘+R כדי "להתחיל", בעוד שהקוד הזדוני האמיתי מוסתר הרחק מתחת לשורה ארוכה של שורות ריקות . כדי להתחמק מסורקי טקסט, המילה "Maccy" כתובה באותיות יווניות וקיריליות דומות (הומוגליפים)
.
בשלב השני, תוכנת הריגול (הכתובה ב-Rust) אוספת מגוון רחב של מידע רגיש :
pam_start, pam_authenticate, pam_end) ללא כל פעילות גלויה בטרמינל ethereum-rpc.publicnode[.]com כל הנתונים הגנובים מוצפנים באמצעות ChaCha20-Poly1305 ונשלחים ב-HTTPS לשרתי הפיקוד והבקרה (C2) בכתובות avenger-sync[.]live ו-avengerflow[.]com, עטופים במעטפת JSON: MacOSapp1{"data":"..."} .
לפני הפעלת הנוזקה, ה-dropper חותם את חבילת האפליקציה המזויפת בחתימה אד-הוק (codesign -fs - --deep. הנוזקה גם בודקת קיום כלי ניפוי באגים ו-System Integrity Protection לפני ההפעלה
.
הנוזקה בשלב השני מוצבת בתוך חבילה בשם Finder.app עם מזהה החבילה com.apple.finder.monitor והסמל האמיתי של Finder שהועתק מ-/System/Library/CoreServices/ . לאחר מכן היא מריצה את
pbpaste כדי לגנוב תוכן לוח. ב-Activity Monitor ייתכן שתראו תהליך Finder שני שמבצע קריאות ללוח — חריגה ברורה .
הנוזקה קובעת התמדה (Persistence) דרך Login Items (ולא LaunchAgents/LaunchDaemons), תוך שימוש גם ב-API המודרני SMAppService וגם ב-API הישן LSSharedFileList. החבילות הזדוניות נקראות: com.apple.finder.monitor ו-com.apple.security.daemon (מתחזה לעדכון תוכנה) . כיוון שחלון Login Items בהגדרות המערכת לא מציג נתיבים מלאים, הנוזקה נראית כרכיב מערכת לגיטימי
.
curl/osascript רגילים maccy.app, או דרך Homebrew / המאגר הרשמי ב-GitHub. הפרויקט האמיתי הוא קוד פתוח תחת רישיון MIT ומפותח על ידי Alexey Rodionov (מזהה צוות MN3X4648SC) .scpt ב-Script Editor מתמונת דיסק שהורדתם ואל תלחצו על Run. שום אפליקציה לגיטימית לא מבקשת מכם לעשות זאת com.apple.finder.monitor) שלא הוספתם בכוונה Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PamStealer היא תוכנת ריגול דו שלבית ל macOS שתועדה לראשונה על ידי Jamf Threat Labs ב 2 ביולי 2026; היא משתמשת ב PAM של אפל כדי לאמת סיסמאות מקומית לפני גניבתן, מה שמבטיח שרק פרטי כניסה תקפים נשלחים לתוקפים
PamStealer היא תוכנת ריגול דו שלבית ל macOS שתועדה לראשונה על ידי Jamf Threat Labs ב 2 ביולי 2026; היא משתמשת ב PAM של אפל כדי לאמת סיסמאות מקומית לפני גניבתן, מה שמבטיח שרק פרטי כניסה תקפים נשלחים לתוקפים ההדבקה מתבצעת דרך אתר מתחזה (maccyapp[.]com) שמחקה את מנהל הלוח Maccy; המשתמש מוריד קובץ AppleScript (.scpt) שכאשר לוחצים עליו פעמיים נפתח ב Script Editor ומבקש ללחוץ ⌘+R כדי להפעיל את הקוד הזדוני המוסתר
בשלב השני, תוכנת הריגול (כתובה ב Rust) אוספת: סיסמת כניסה, פרטי מחזיק מפתחות, נתוני דפדפן, ארנקי קריפטו, תוכן לוח ומבקשת גישה מלאה לדיסק (FDA) באיחור של עד 40 דקות