Jamf Threat Labs identifica el malware PamStealer haciéndose pasar por la aplicación Maccy

Jamf Threat Labs identificó un nuevo infostealer para macOS basado en Rust llamado PamStealer que se hace pasar por el gestor de portapapeles de código abierto Maccy. En un informe publicado el jueves, la firma de ciberseguridad dijo que la campaña utiliza un sitio web falso para distribuir un archivo AppleScript malicioso que puede robar contraseñas y claves de billeteras de criptomonedas de usuarios de Mac. El malware valida las contraseñas de inicio de sesión de las víctimas a través de los Módulos de Autenticación Enchufables (PAM) de macOS antes de recolectarlas, según Jamf Threat Labs. El descubrimiento refleja una tendencia más amplia de atacantes que disfrazan malware como software legítimo y abusan de plataformas de confianza para desarrolladores y canales publicitarios.

Jamf Threat Labs descubre el método de distribución de PamStealer

Según Jamf Threat Labs, la campaña utiliza un sitio web similar para distribuir una imagen de disco que contiene un archivo AppleScript malicioso llamado Maccy.scpt. Al abrirlo, el archivo muestra instrucciones indicando a los usuarios que lo ejecuten en el Editor de Scripts de Apple mientras oculta el código malicioso más abajo en el documento.

«Estamos rastreando este malware bajo el nombre PamStealer por uno de sus comportamientos principales: validar la contraseña de inicio de sesión de la víctima a través de los Módulos de Autenticación Enchufables (PAM) de macOS antes de recolectarla», escribió Jamf Threat Labs en el informe.

El director de Jamf Threat Labs, Jaron Bradley, dijo a Decrypt que los atacantes han estado comprando espacio publicitario en Google para atraer a los usuarios a aplicaciones maliciosas. «Recientemente hemos observado anuncios maliciosos alojados también en X», dijo Bradley. «Estas técnicas de ingeniería social han demostrado ser muy exitosas».

PamStealer emplea técnicas avanzadas de evasión

El malware utiliza JavaScript para Automatización y APIs nativas de macOS para descargar una carga útil de segunda etapa sin depender de utilidades comunes de shell como curl o zsh, reduciendo la cantidad de procesos que las herramientas de seguridad pueden observar.

Según el informe, la segunda etapa es un binario basado en Rust diseñado para Macs con Apple Silicon que se disfraza como Finder o Actualización de Software. «En lugar de almacenar su configuración en texto claro, el dropper deriva una clave a partir de una huella digital del host —incluyendo su arquitectura de CPU, configuración regional, distribución del teclado y zona horaria— y la utiliza para desbloquear una configuración cifrada y verificada en integridad que contiene la URL de la carga útil y la ruta de instalación», dijo la compañía.

Si el malware no puede verificar que se está ejecutando en su objetivo previsto, se apaga silenciosamente.

Las capacidades del malware incluyen robo de credenciales y persistencia

Una vez instalado, el malware puede robar credenciales del navegador y datos del Llavero, monitorear el contenido del portapapeles, establecer persistencia y enviar información robada a un servidor remoto de comando y control utilizando comunicaciones cifradas.

El malware intenta ampliar su acceso mostrando una alerta falsa de Finder que pide a los usuarios que concedan Acceso Total al Disco. El mensaje puede aparecer hasta 40 minutos después de la infección, lo que reduce la probabilidad de que los usuarios lo asocien con la descarga original. Si se aprueba, el malware puede acceder a datos protegidos, incluyendo Mail, Mensajes y copias de seguridad de Time Machine.

Según Bradley, Jamf no ha observado ninguna evidencia de que PamStealer esté activo en la naturaleza. La compañía notificó a Apple de sus hallazgos. Apple no respondió de inmediato a una solicitud de comentarios de Decrypt.

Jamf identifica campaña relacionada en la plataforma X

Jamf dijo que está viendo técnicas de ingeniería social similares extenderse a otras plataformas. En una publicación en X la semana pasada, la compañía dijo que estaba investigando un anuncio patrocinado en X que promocionaba DynamicLake y redirigía a los usuarios a dynamicmacisland[.]com, donde se les indicaba que abrieran Terminal y ejecutaran un comando de instalación.

«El anuncio fue entregado a través de una cuenta verificada de X, añadiendo otra capa de confianza a la ingeniería social», escribió la firma. «El análisis de la carga útil reveló una variante reciente de Atomic (MacSync) Stealer».

El descubrimiento refleja una tendencia más amplia de malware

Los hallazgos se producen mientras los atacantes disfrazan cada vez más el malware como software legítimo y abusan de plataformas de confianza para desarrolladores y canales publicitarios. Las campañas recientes han incluido un repositorio falso de OpenAI que alcanzó el primer lugar de los proyectos populares de Hugging Face antes de distribuir un infostealer basado en Rust, una extensión maliciosa de Visual Studio Code que GitHub dijo que expuso aproximadamente 3.800 repositorios internos, y la campaña de software supply-chain Shai-Hulud dirigida a herramientas de desarrollo utilizadas por empresas de IA, incluyendo OpenAI y Mistral AI.

FAQ

¿Qué es el malware PamStealer y cómo ataca a los usuarios de Mac?

PamStealer es un infostealer para macOS basado en Rust identificado por Jamf Threat Labs que se hace pasar por el gestor de portapapeles de código abierto Maccy. El malware se distribuye a través de un sitio web falso que entrega un archivo AppleScript malicioso. Valida las contraseñas de inicio de sesión de las víctimas a través de los Módulos de Autenticación Enchufables (PAM) de macOS antes de robar credenciales del navegador, datos del Llavero y monitorear el contenido del portapapeles.

¿Cómo evita PamStealer la detección por parte de las herramientas de seguridad?

Según Jamf Threat Labs, PamStealer utiliza JavaScript para Automatización y APIs nativas de macOS para descargar una carga útil de segunda etapa sin depender de utilidades comunes de shell como curl o zsh, reduciendo la cantidad de procesos que las herramientas de seguridad pueden observar. El malware también deriva una clave de la huella digital del host para desbloquear una configuración cifrada, y se apaga si no puede verificar que se está ejecutando en su objetivo previsto.

¿Ha observado Jamf que PamStealer se utilice en ataques activos?

Según el director de Jamf Threat Labs, Jaron Bradley, Jamf no ha observado ninguna evidencia de que PamStealer esté activo en la naturaleza. La compañía notificó a Apple de sus hallazgos, pero Apple no respondió de inmediato a una solicitud de comentarios de Decrypt.

Aviso legal: La información en esta página puede provenir de fuentes de terceros y es solo para referencia. No representa las opiniones ni puntos de vista de Gate y no constituye asesoramiento financiero, de inversión ni legal. El comercio de activos virtuales implica un alto riesgo. No te bases únicamente en la información presentada en esta página para tomar decisiones. Para más detalles, consulta el Aviso legal.
Comentar
0/400
Sin comentarios