PamStealer is een tweedelige macOS infostealer die voor het eerst is gedocumenteerd door Jamf Threat Labs op 2 juli 2026 [19][1]. De malware gebruikt Apple's Pluggable Authentication Modules (PAM) om ingevoerde wachtwoorden lokaal te valideren, zodat alleen werkende credentials worden gestolen.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is PamStealer — the new macOS infostealer that validates stolen passwords through Apple's PA. Article summary: Here is the full fact-checked breakdown based on the Jamf Threat Labs report (July 2, 2026) and corroborating sources.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative
Een nieuwe macOS-infostealer genaamd PamStealer doet de ronde – en hij heeft een bijzonder gemene truc in petto. In plaats van blindelings elk wachtwoord te accepteren dat een slachtoffer in een nep-dialoogvenster typt, valideert de malware het wachtwoord eerst tegen Apple's eigen Pluggable Authentication Modules (PAM) voordat het wordt geëxfiltreerd. Dit betekent dat aanvallers alleen werkende credentials binnenkrijgen, geen typefouten of neppers. Voor het eerst gedocumenteerd door Jamf Threat Labs op 2 juli 2026 , vertegenwoordigt PamStealer een zorgwekkende evolutie in macOS-credentialdiefstal.
De malware wordt verspreid vanaf een typosquat-domein – maccyapp[.]com – dat is ontworpen om de legitieme Maccy klembordmanager na te bootsen. De echte Maccy wordt alleen gedistribueerd via maccy.app, Homebrew of de officiële GitHub-repository . De legitieme site waarschuwt gebruikers expliciet voor deze neppagina's
.
Wanneer een slachtoffer de nepsite bezoekt, krijgt hij een schijfimage (.dmg) aangeboden met daarin een gecompileerd AppleScript-bestand met de naam Maccy.scpt . De legitieme Maccy heeft nog nooit een DMG verspreid; het wordt alleen geleverd als
Maccy.app.zip .
Bij dubbelklikken opent macOS .scpt-bestanden standaard in Script Editor. Het zichtbare deel van het bestand toont instructies met het logo van Maccy die de gebruiker vertelt op ⌘+R te drukken om 'te starten', terwijl de daadwerkelijke kwaadaardige code verborgen is diep na een groot blok lege regels . De tekst maakt ook gebruik van Griekse en Cyrillische homogliefen in het woord 'Maccy' om tekstgebaseerde scanners te misleiden
.
De tweede fase van de aanval is een in Rust geschreven Mach-O infostealer die een breed scala aan gevoelige data verzamelt :
pam_start, pam_authenticate, pam_end), zonder zichtbare shell-activiteit ethereum-rpc.publicnode[.]com Alle gestolen gegevens worden versleuteld met ChaCha20-Poly1305 en geëxfiltreerd via HTTPS naar C2-eindpunten (waargenomen domeinen: avenger-sync[.]live en avengerflow[.]com), verpakt in een MacOSapp1{"data":"..."} JSON-envelop .
Voordat de payload wordt gelanceerd, ondertekent de dropper de neppe applicatiebundel ad-hoc met codesign -fs - --deep. De malware controleert ook op debuggingtools en System Integrity Protection voordat hij verdergaat
.
De payload uit de tweede fase wordt geplaatst in een bundel met de naam Finder.app, met de bundel-ID com.apple.finder.monitor en het echte Finder.icns-pictogram dat is gekopieerd van /System/Library/CoreServices/ . Vervolgens wordt
pbpaste gestart om klembordgegevens te stelen, waardoor Activiteitenweergave een tweede Finder-proces kan tonen dat klembord-uitlezingen uitvoert – een sterke afwijking .
Persistentie wordt bereikt via Login Items (niet LaunchAgents/LaunchDaemons) met behulp van zowel de moderne SMAppService-API als de verouderde LSSharedFileList-API, waarbij de malware gebundeld zit onder: com.apple.finder.monitor en com.apple.security.daemon (zich voordoend als Software-update) . Omdat het venster 'Login-items' in Systeeminstellingen geen volledige paden toont, verschijnt de malware als legitieme systeemvermeldingen
.
curl/osascript gebaseerde downloaders maccy.app, of via Homebrew / de officiële GitHub-repository. Het echte project is open-source (MIT-licentie) en wordt beheerd door ontwikkelaar Alexey Rodionov (Team-ID MN3X4648SC) .scpt-bestanden in Script Editor van een gedownload schijfimage en druk op Uitvoeren. Geen enkele legitieme macOS-app vraagt je dit te doen com.apple.finder.monitor) die je niet zelf hebt toegevoegd Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PamStealer is een tweedelige macOS infostealer die voor het eerst is gedocumenteerd door Jamf Threat Labs op 2 juli 2026 [19][1].
PamStealer is een tweedelige macOS infostealer die voor het eerst is gedocumenteerd door Jamf Threat Labs op 2 juli 2026 [19][1]. De malware gebruikt Apple's Pluggable Authentication Modules (PAM) om ingevoerde wachtwoorden lokaal te valideren, zodat alleen werkende credentials worden gestolen.
Verspreiding verloopt via een typosquat domein (maccyapp[.]com) dat de legitieme Maccy klembordmanager nabootst; gebruikers krijgen een schijfimage met een kwaadaardig AppleScript bestand.