Jamf Threat Labs mengidentifikasi infostealer macOS berbasis Rust baru bernama PamStealer yang menyamar sebagai manajer clipboard sumber terbuka Maccy. Dalam laporan yang diterbitkan pada hari Kamis, perusahaan keamanan siber tersebut mengatakan kampanye ini menggunakan situs web palsu untuk mendistribusikan file AppleScript berbahaya yang dapat mencuri kata sandi dan kunci dompet kripto dari pengguna Mac. Menurut Jamf Threat Labs, malware ini memvalidasi kata sandi login korban melalui Modul Otentikasi Plug-in macOS (PAM) sebelum memanennya. Penemuan ini mencerminkan tren yang lebih luas di mana penyerang menyamarkan malware sebagai perangkat lunak sah dan menyalahgunakan platform pengembang tepercaya serta saluran iklan.
Menurut Jamf Threat Labs, kampanye ini menggunakan situs web tiruan untuk mendistribusikan citra disk yang berisi file AppleScript berbahaya bernama Maccy.scpt. Saat dibuka, file tersebut menampilkan instruksi yang menyuruh pengguna untuk menjalankannya di Editor Skrip Apple sambil menyembunyikan kode berbahaya lebih jauh di bawah dokumen.
"Kami melacak malware ini dengan nama PamStealer setelah salah satu perilaku intinya: memvalidasi kata sandi login korban melalui Modul Otentikasi Plug-in macOS (PAM) sebelum memanennya," tulis Jamf Threat Labs dalam laporan tersebut.
Direktur Jamf Threat Labs, Jaron Bradley, mengatakan kepada Decrypt bahwa penyerang telah membeli ruang iklan Google untuk memikat pengguna ke aplikasi berbahaya. "Kami baru-baru ini mengamati iklan berbahaya yang dihosting di X juga," kata Bradley. "Teknik rekayasa sosial ini terbukti sangat berhasil."
Malware ini menggunakan JavaScript for Automation dan API macOS asli untuk mengunduh muatan tahap kedua tanpa mengandalkan utilitas shell umum seperti curl atau zsh, sehingga mengurangi jumlah proses yang dapat diamati oleh alat keamanan.
Menurut laporan tersebut, tahap kedua adalah biner berbasis Rust yang dirancang untuk Mac Apple Silicon dan menyamar sebagai Finder atau Software Update. "Alih-alih menyimpan konfigurasinya dalam teks biasa, dropper memperoleh kunci dari sidik jari inang—termasuk arsitektur CPU, lokal, tata letak keyboard, dan zona waktu—dan menggunakannya untuk membuka konfigurasi terenkripsi yang telah diperiksa integritasnya, yang berisi URL muatan dan jalur instalasi," kata perusahaan tersebut.
Jika malware tidak dapat memverifikasi bahwa ia berjalan pada target yang dimaksudkan, ia akan mati secara diam-diam.
Setelah terinstal, malware dapat mencuri kredensial browser dan data Keychain, memantau konten clipboard, membangun persistensi, dan mengirim informasi yang dicuri ke server komando dan kontrol jarak jauh menggunakan komunikasi terenkripsi.
Malware ini berusaha memperluas aksesnya dengan menampilkan pemberitahuan Finder palsu yang meminta pengguna memberikan Akses Disk Penuh. Prompt ini dapat muncul hingga 40 menit setelah infeksi, sehingga kecil kemungkinannya pengguna mengaitkannya dengan unduhan asli. Jika disetujui, malware dapat mengakses data yang dilindungi, termasuk cadangan Mail, Messages, dan Time Machine.
Menurut Bradley, Jamf belum mengamati bukti bahwa PamStealer aktif di alam liar. Perusahaan telah memberi tahu Apple tentang temuannya. Apple tidak segera menanggapi permintaan komentar dari Decrypt.
Jamf mengatakan bahwa mereka melihat teknik rekayasa sosial serupa menyebar ke platform lain. Dalam postingan X minggu lalu, perusahaan mengatakan bahwa mereka sedang menyelidiki iklan bersponsor di X yang mempromosikan DynamicLake dan mengarahkan pengguna ke dynamicmacisland[.]com, di mana mereka diinstruksikan untuk membuka Terminal dan menjalankan perintah instalasi.
"Iklan tersebut dikirimkan melalui akun X terverifikasi, menambah lapisan kepercayaan pada rekayasa sosial," tulis perusahaan tersebut. "Analisis muatan mengungkapkan varian Atomic (MacSync) Stealer terbaru."
Temuan ini muncul saat penyerang semakin sering menyamarkan malware sebagai perangkat lunak sah dan menyalahgunakan platform pengembang tepercaya serta saluran iklan. Kampanye terbaru termasuk repositori OpenAI palsu yang mencapai puncak proyek tren Hugging Face sebelum mendistribusikan infostealer berbasis Rust, ekstensi Visual Studio Code berbahaya yang menurut GitHub mengekspos sekitar 3.800 repositori internal, dan kampanye rantai pasokan perangkat lunak Shai-Hulud yang menargetkan alat pengembangan yang digunakan oleh perusahaan AI termasuk OpenAI dan Mistral AI.
Apa itu malware PamStealer dan bagaimana cara menargetkan pengguna Mac?
PamStealer adalah infostealer macOS berbasis Rust yang diidentifikasi oleh Jamf Threat Labs dan menyamar sebagai manajer clipboard sumber terbuka Maccy. Malware ini didistribusikan melalui situs web palsu yang mengirimkan file AppleScript berbahaya. Malware ini memvalidasi kata sandi login korban melalui Modul Otentikasi Plug-in macOS (PAM) sebelum mencuri kredensial browser, data Keychain, dan memantau konten clipboard.
Bagaimana PamStealer menghindari deteksi oleh alat keamanan?
Menurut Jamf Threat Labs, PamStealer menggunakan JavaScript for Automation dan API macOS asli untuk mengunduh muatan tahap kedua tanpa mengandalkan utilitas shell umum seperti curl atau zsh, sehingga mengurangi jumlah proses yang dapat diamati oleh alat keamanan. Malware juga memperoleh kunci dari sidik jari inang untuk membuka konfigurasi terenkripsi, dan mati secara diam-diam jika tidak dapat memverifikasi bahwa ia berjalan pada target yang dimaksudkan.
Apakah Jamf mengamati PamStealer digunakan dalam serangan aktif?
Menurut Direktur Jamf Threat Labs, Jaron Bradley, Jamf belum mengamati bukti bahwa PamStealer aktif di alam liar. Perusahaan telah memberi tahu Apple tentang temuannya, tetapi Apple tidak segera menanggapi permintaan komentar dari Decrypt.
Berita Terkait
Zcash Menargetkan Mainnet Ironwood pada 21 Juli 2026 Setelah Cacat Orchard Pool
D3Lab Mendeteksi Gelombang Malware Tap-to-Pay yang Menargetkan Pengguna Android di Eropa
Peter Schiff Mengkritik Trump Memecoins sebagai Alat Suap
Kerugian akibat celah keamanan Hinkal DeFi mencapai 820 ribu dolar AS, dengan 410 ETH terlibat dalam pencucian uang.