WikiBit 2026-07-06 06:55Un nuevo infostealer para Mac, denominado PamStealer, suplanta al gestor de portapapeles de código abierto Maccy para robar contraseñas y otra información.
En Resumen
Los usuarios de Mac que buscan descargar el gestor de portapapeles de código abierto Maccy están siendo objetivo de una versión falsa de la aplicación que instala un nuevo malware robador de información desarrollado en Rust, denominado PamStealer, según la firma de ciberseguridad Jamf Threat Labs. Si la infección tiene éxito, el malware puede robar contraseñas y claves de billeteras de criptomonedas.
En un informe publicado el jueves, Jamf Threat Labs explicó que la campaña utiliza un sitio web que imita al original para distribuir una imagen de disco que contiene un archivo malicioso de AppleScript llamado Maccy.scpt. Al abrirlo, el archivo muestra instrucciones para que el usuario lo ejecute en el Editor de Scripts de Apple, mientras oculta el código malicioso en la parte inferior del documento.
“Estamos rastreando este malware bajo el nombre PamStealer debido a uno de sus comportamientos principales: validar la contraseña de inicio de sesión de la víctima mediante los Módulos de Autenticación Conectables (PAM) de macOS antes de robarla”, escribió Jamf Threat Labs.
A partir de ese momento, el malware utiliza JavaScript for Automation y las API nativas de macOS para descargar una segunda carga maliciosa sin depender de herramientas habituales de la terminal, como curl o zsh, reduciendo así la cantidad de procesos que las herramientas de seguridad pueden detectar.
“Con muchos programas de robo de información hemos visto a los atacantes comprar anuncios en Google para atraer a los usuarios hacia aplicaciones maliciosas. Recientemente también hemos observado anuncios maliciosos alojados en X”, dijo el director de Jamf Threat Labs, Jaron Bradley, a Decrypt. “Estas técnicas de ingeniería social han demostrado ser muy efectivas”.
Según el informe, la segunda etapa consiste en un ejecutable desarrollado en Rust para equipos Mac con procesadores Apple Silicon que se hace pasar por Finder o por la herramienta Actualización de Software.
“En lugar de almacenar su configuración en texto plano, el instalador genera una clave a partir de una huella del sistema de la víctima —incluyendo la arquitectura del procesador, la configuración regional, la distribución del teclado y la zona horaria— y la utiliza para desbloquear una configuración cifrada y verificada que contiene la URL de la carga útil y la ruta de instalación”, explicó la compañía.
Una vez instalado, el malware puede robar credenciales almacenadas en el navegador y datos del Llavero de macOS (Keychain), monitorear el contenido del portapapeles, establecer mecanismos de persistencia y enviar la información robada a un servidor remoto de comando y control mediante comunicaciones cifradas. Si no puede verificar que se está ejecutando en el equipo objetivo previsto, finaliza silenciosamente su ejecución.
El malware también intenta ampliar sus permisos mostrando una alerta falsa de Finder que solicita al usuario conceder Acceso Completo al Disco. El mensaje puede aparecer hasta 40 minutos después de la infección, lo que reduce las probabilidades de que el usuario lo relacione con la descarga inicial. Si el permiso es concedido, el malware puede acceder a información protegida, incluidos los datos de Mail, Mensajes y las copias de seguridad de Time Machine.
Según Bradley, Jamf no ha observado evidencia de que PamStealer esté activo actualmente en campañas masivas, aunque la compañía ya notificó a Apple sobre sus hallazgos. Apple no respondió de inmediato a la solicitud de comentarios realizada por Decrypt.
Jamf también señaló que está observando técnicas similares de ingeniería social expandiéndose a otras plataformas.
En una publicación en X la semana pasada, la empresa informó que estaba investigando un anuncio patrocinado en esa red social que promocionaba DynamicLake y redirigía a los usuarios al sitio dynamicmacisland[.]com, donde se les indicaba abrir la aplicación Terminal y ejecutar un comando de instalación.
“El anuncio se distribuía a través de una cuenta verificada de X, lo que añadía una capa adicional de confianza a la estrategia de ingeniería social”, explicó la firma. “El análisis de la carga útil reveló una variante reciente de Atomic (MacSync) Stealer”.
Estos hallazgos llegan en un momento en el que los atacantes recurren cada vez más al disfraz de software legítimo y al abuso de plataformas de desarrollo y canales publicitarios confiables para distribuir malware. Entre las campañas recientes figuran un falso repositorio de OpenAI que llegó a situarse entre los proyectos más populares de Hugging Face antes de distribuir un infostealer desarrollado en Rust; una extensión maliciosa de Visual Studio Code que, según GitHub, comprometió aproximadamente 3.800 repositorios internos; y la campaña de cadena de suministro de software Shai-Hulud, dirigida contra herramientas de desarrollo utilizadas por empresas de inteligencia artificial como OpenAI y Mistral AI.
Descargo de responsabilidad:
Las opiniones de este artículo solo representan las opiniones personales del autor y no constituyen un consejo de inversión para esta plataforma. Esta plataforma no garantiza la precisión, integridad y actualidad de la información del artículo, ni es responsable de ninguna pérdida causada por el uso o la confianza en la información del artículo.
Gigante Financiero Japonés SBI Cerrará su Pool de Minería de Bitcoin
WikiBit 2026-07-03 08:01El lanzamiento institucional de Ethereum recibe apoyo de todo el ecosistema de Ethereum
WikiBit 2026-07-02 06:00Jefferies advierte en contra de comprar la caída en Circle debido a que Open USD genera nuevos temores de competencia
WikiBit 2026-07-02 02:00Proyecto misterioso de Solana, World, revelado como mercado de predicción completamente en cadena
WikiBit 2026-07-01 23:00Metaplanet Suma 2.823 Bitcoin en el Segundo Trimestre Mientras Disminuye el Ritmo de Compra
WikiBit 2026-07-03 04:55Presidente de Securitize Apuesta por la Tokenización como Caballo de Troya para Liberar a los Inversores Minoristas
WikiBit 2026-07-02 04:01Rusia Está Lista para el "Uso Generalizado" del Rublo Digital en Septiembre: Gobernadora del Banco
WikiBit 2026-07-04 03:49Bitcoin Rebota a $60.000 Tras Tocar Mínimo de Dos Años Mientras Datos Débiles de EEUU Enfrían Temores Sobre Tasas
WikiBit 2026-07-02 03:40Venice AI Recauda $65 Millones y Alcanza Valoración de $1.000 Millones con Respaldo de Dragonfly y Coinbase
WikiBit 2026-07-02 09:01Bitcoin se aproxima a los $60,000 tras declaraciones del Presidente de la Fed, Warsh, sobre la disminución de los riesgos inflacionarios
WikiBit 2026-07-01 23:000.00