Нова загроза для користувачів macOS — зловмисне програмне забезпечення PamStealer — поширюється мережею, і воно має особливо підступний механізм. Замість того, щоб сліпо приймати будь-який пароль, який жертва вводить у підроблене діалогове вікно, цей вірус перевіряє його за допомогою власних Pluggable Authentication Modules (PAM) від Apple, перш ніж викрасти. Таким чином, зловмисники отримують лише робочі облікові дані, а не помилки чи фальшивки. Вперше задокументований Jamf Threat Labs 2 липня 2026 року , PamStealer є тривожною еволюцією в крадіжці облікових даних на macOS.
Зловмисне програмне забезпечення поширюється з домену-тайпсквотера — maccyapp[.]com, який створений для імітації офіційного проєкту менеджера буфера обміну Maccy. Справжній Maccy поширюється лише з maccy.app, Homebrew або його офіційного репозиторію на GitHub . На легітимному сайті є чітке попередження про такі підроблені сторінки
.
Коли жертва відвідує фальшивий сайт, їй пропонують завантажити образ диску (.dmg), який містить скомпільований файл AppleScript під назвою Maccy.scpt . Легітимний Maccy ніколи не поширювався у форматі DMG; він доступний лише як
Maccy.app.zip .
При подвійному кліку macOS за замовчуванням відкриває файли .scpt у Script Editor. Видима частина файлу містить фірмові інструкції, які пропонують користувачеві натиснути ⌘+R, щоб "розпочати", тоді як справжній шкідливий код прихований далеко внизу після великого блоку порожніх рядків . Текст також використовує грецькі та кириличні омогліфи в слові "Maccy", щоб обійти текстові сканери
.
Другий етап — Rust-завантажувач Mach-O — збирає широкий спектр конфіденційної інформації :
pam_start, pam_authenticate, pam_end) без видимої активності в терміналі Всі вкрадені дані шифруються за допомогою ChaCha20-Poly1305 та відправляються через HTTPS на C2-сервери (спостережувані домени: avenger-sync[.]live та avengerflow[.]com), запаковані в JSON-конверт MacOSapp1{"data":"..."} .
Перед запуском корисного навантаження дроппер підписує фальшивий пакунок програми ad-hoc за допомогою codesign -fs - --deep. Зловмисне ПЗ також перевіряє наявність інструментів налагодження та System Integrity Protection перед продовженням
.
Корисне навантаження другого етапу розміщується в пакунку під назвою Finder.app з ідентифікатором пакунка com.apple.finder.monitor та справжньою іконкою Finder.icns, скопійованою з /System/Library/CoreServices/ . Потім воно запускає
pbpaste для крадіжки даних буфера обміну, тому Моніторинг системи може показати другий процес Finder, який виконує читання буфера обміну — це сильна аномалія .
Постійність забезпечується через Елементи входу (Login Items), а не LaunchAgents/LaunchDaemons, з використанням як сучасного API SMAppService, так і застарілого LSSharedFileList. Зловмисне ПЗ запаковано під виглядом: com.apple.finder.monitor та com.apple.security.daemon (маскується під Оновлення програмного забезпечення) . Оскільки панель Елементів входу в Системних налаштуваннях не показує повні шляхи, зловмисне ПЗ виглядає як легітимні системні записи
.
curl/osascript maccy.app, або через Homebrew / офіційний репозиторій GitHub. Справжній проєкт є відкритим (ліцензія MIT) і підтримується розробником Олексієм Родіоновим (Team Identifier MN3X4648SC) .scpt у Script Editor із завантаженого образу диска та не натискайте Run. Жодна легітимна програма macOS не просить вас це робити Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PamStealer — це двоетапний інфостилер для macOS, вперше виявлений Jamf Threat Labs 2 липня 2026 року.
PamStealer — це двоетапний інфостилер для macOS, вперше виявлений Jamf Threat Labs 2 липня 2026 року. Вірус поширюється через фальшивий сайт maccyapp[.]com, який імітує справжній менеджер буфера обміну Maccy.
Другий етап — Rust завантажувач, який збирає пароль входу, дані Keychain, файли cookie браузера, облікові дані криптогаманців та вміст буфера обміну.
ethereum-rpc.publicnode[.]com