En ny macOS-infostealer kalt PamStealer sprer seg – og den har et spesielt ubehagelig triks. I stedet for å blindt akseptere passordet du skriver inn i en falsk dialogboks, validerer den passordet mot Apples egne Pluggable Authentication Modules (PAM) før det sendes videre. Det betyr at angripere kun får fungerende passord – ikke skrivefeil eller avledningsmanøvrer. Først dokumentert av Jamf Threat Labs 2. juli 2026 , representerer PamStealer en bekymringsfull utvikling innen passordtyveri på macOS.
Malwaren distribueres fra et typosquat-domen – maccyapp[.]com – designet for å etterligne den ekte utklippstavle-appen Maccy. Det ekte Maccy distribueres kun fra maccy.app, Homebrew eller det offisielle GitHub-repositoriet . Den ekte nettsiden advarer uttrykkelig brukere om disse kopi-nettene
.
Når et offer besøker den falske nettsiden, får de et diskbilde (.dmg) som inneholder en kompilert AppleScript-fil med navnet Maccy.scpt . Ekte Maccy har aldri blitt distribuert som DMG; det leveres kun som
Maccy.app.zip .
Når filen dobbeltklikkes, åpner macOS .scpt-filer i Script Editor. Den synlige delen av filen viser merkede instruksjoner om å trykke ⌘+R for å "komme i gang", mens den ondsinnede koden er gjemt langt nede etter en stor blokk med tomme linjer . Teksten bruker også greske og kyrilliske homoglyfer i ordet "Maccy" for å lure tekstbaserte skannere
.
Andre-stegs nyttelasten, en Rust-basert Mach-O-infostealer, samler inn et bredt spekter av sensitive data :
pam_start, pam_authenticate, pam_end) uten synlig terminalaktivitet Alle stjålne data krypteres med ChaCha20-Poly1305 og eksfiltreres over HTTPS til C2-endepunkter (observerte domener: avenger-sync[.]live og avengerflow[.]com), innpakket i en JSON-konvolutt MacOSapp1{"data":"..."} .
Før nyttelasten startes, signerer dropperen den falske applikasjonspakken ad-hoc med codesign -fs - --deep. Malwaren sjekker også etter feilsøkingsverktøy og System Integrity Protection før den fortsetter
.
Andre-stegs nyttelasten legges i en pakke kalt Finder.app med pakkeidentifikatoren com.apple.finder.monitor og det ekte Finder.icns-ikonet kopiert fra /System/Library/CoreServices/ . Den starter deretter
pbpaste for å stjele utklippstavle-data. Aktivitetsmonitor kan derfor vise en ekstra Finder-prosess som utfører utklippstavle-avlesninger – en sterk indikator på urent spill .
Vedvarende tilgang opprettes via påloggingsenheter (Login Items), ikke LaunchAgents/LaunchDaemons. Det brukes både det moderne SMAppService-APIet og det eldre LSSharedFileList-APIet. Malwaren pakkes inn i: com.apple.finder.monitor og com.apple.security.daemon (forkledd som programvareoppdatering) . Siden ruten for påloggingsenheter i Systeminnstillinger ikke viser fullstendige stier, fremstår malwaren som legitim systemprogramvare
.
curl/osascript-baserte nedlastere maccy.app, eller via Homebrew / det offisielle GitHub-repositoriet. Det ekte prosjektet er åpen kildekode (MIT-lisens) og drives av utvikleren Alexey Rodionov (Team Identifier MN3X4648SC) .scpt-filer i Script Editor fra et nedlastet diskbilde og trykk på Kjør. Ingen ekte macOS-app ber deg om dette Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PamStealer er en to stegs infostealer for macOS, først dokumentert av Jamf Threat Labs 2.
PamStealer er en to stegs infostealer for macOS, først dokumentert av Jamf Threat Labs 2. Den utgir seg for å være utklippstavle verktøyet Maccy, men spres via et typosquat domen (maccyapp[.]com) som lurer brukere til å åpne en ondsinnet AppleScript fil.
Unikt for PamStealer er at den validerer passordet lokalt via Apples PAM (Pluggable Authentication Modules) – slik at kun fungerende passord sendes videre til angriperne.
ethereum-rpc.publicnode[.]com