PamStealer — новый инфостилер для macOS, впервые задокументированный Jamf Threat Labs 2 июля 2026 года. Распространяется через подставной домен maccyapp[.]com, имитирующий менеджер буфера обмена Maccy.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is PamStealer — the new macOS infostealer that validates stolen passwords through Apple's PA. Article summary: Here is the full fact-checked breakdown based on the Jamf Threat Labs report (July 2, 2026) and corroborating sources.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative
Новый инфостилер для macOS получил название PamStealer — и его главная «фишка» особенно опасна. Вместо того чтобы слепо принимать любой пароль, который жертва вводит в поддельное диалоговое окно, вредонос проверяет его через собственный модуль аутентификации Apple (Pluggable Authentication Modules, PAM) перед отправкой злоумышленникам. Это означает, что атакующие получают только рабочие учетные данные, а не опечатки или подставные символы. Впервые об угрозе сообщила команда Jamf Threat Labs 2 июля 2026 года . PamStealer представляет собой тревожный шаг вперед в эволюции кражи учетных данных на macOS.
Вредонос распространяется с подставного домена — maccyapp[.]com — который имитирует официальный проект менеджера буфера обмена Maccy. Настоящий Maccy распространяется только через maccy.app, Homebrew или официальный GitHub-репозиторий . На легитимном сайте есть явное предупреждение о мошеннических копиях
.
Когда жертва заходит на поддельный сайт, ей предлагают скачать образ диска (.dmg), внутри которого находится скомпилированный файл AppleScript с именем Maccy.scpt . Настоящий Maccy никогда не распространялся в виде DMG; он поставляется только как
Maccy.app.zip .
При двойном клике macOS по умолчанию открывает .scpt-файлы в Script Editor. Видимая часть файла содержит инструкцию нажать ⌘+R, чтобы «начать работу», в то время как реальный вредоносный код скрыт далеко внизу, за большим блоком пустых строк . В тексте также используются греческие и кириллические омоглифы в слове «Maccy», чтобы обмануть текстовые сканеры
.
Вторая стадия — Rust-based Mach-O-инфостилер, собирающий широкий спектр конфиденциальной информации :
pam_start, pam_authenticate, pam_end) без видимой активности в терминале ethereum-rpc.publicnode[.]com Все украденные данные шифруются с помощью ChaCha20-Poly1305 и отправляются по HTTPS на C2-серверы (наблюдаемые домены: avenger-sync[.]live и avengerflow[.]com), обернутые в JSON-конверт MacOSapp1{"data":"..."} .
Перед запуском полезной нагрузки дроппер подписывает поддельный пакет приложения ad-hoc командой codesign -fs - --deep. Вредонос также проверяет наличие инструментов отладки и целостность System Integrity Protection
.
Полезная нагрузка второй стадии помещается в пакет с именем Finder.app и идентификатором com.apple.finder.monitor, при этом используется настоящая иконка Finder.icns, скопированная из /System/Library/CoreServices/ . Затем запускается
pbpaste для кражи данных из буфера обмена, поэтому в Мониторинге системы может отображаться второй процесс Finder, выполняющий чтение буфера обмена — это сильная аномалия .
Постоянство обеспечивается через Login Items (а не LaunchAgents/LaunchDaemons) с использованием как современного API SMAppService, так и устаревшего LSSharedFileList. Вредонос маскируется под компоненты системы: com.apple.finder.monitor и com.apple.security.daemon (выдавая себя за обновление ПО) . Поскольку панель Login Items в Системных настройках не показывает полные пути, вредонос выглядит как легитимная системная запись
.
curl/osascript maccy.app, Homebrew или официального GitHub-репозитория. Настоящий проект — открытый (лицензия MIT), его разработчик — Алексей Родионов (Team Identifier MN3X4648SC) .scpt-файлы в Script Editor из скачанного образа диска и не нажимайте Run. Ни одно легитимное приложение для macOS не просит вас этого делать com.apple.finder.monitor), которые вы не добавляли намеренно Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PamStealer — новый инфостилер для macOS, впервые задокументированный Jamf Threat Labs 2 июля 2026 года.
PamStealer — новый инфостилер для macOS, впервые задокументированный Jamf Threat Labs 2 июля 2026 года. Распространяется через подставной домен maccyapp[.]com, имитирующий менеджер буфера обмена Maccy.
Вторая стадия — Rust стилер, собирающий пароль входа, данные Keychain, содержимое браузеров и криптокошельков, историю буфера обмена.