По данным Jamf Threat Labs, в четверг компания по кибербезопасности обнаружила поддельную версию менеджера буфера обмена Maccy, которая распространяет новое Rust-вредоносное ПО под названием PamStealer. Вредоносное приложение распространяется через поддельный веб-сайт, содержащий файл AppleScript, который при запуске собирает пароли пользователей и ключи криптокошельков, проверяя учетные данные для входа с помощью модулей Pluggable Authentication Modules (PAM) macOS.
После установки вредоносное ПО использует JavaScript для автоматизации и собственные API macOS для загрузки полезной нагрузки второго этапа, предназначенной для Mac на Apple Silicon. Оно может красть учетные данные браузера и данные связки ключей, отслеживать содержимое буфера обмена, обеспечивать постоянство и запрашивать полный доступ к диску для доступа к защищенным файлам, включая почту, сообщения и резервные копии Time Machine. На данный момент Jamf не обнаружил активных кампаний PamStealer, но уведомил Apple о своих находках.