Novo Infostealer para macOS, PamStealer, Rouba Senhas do Sistema Usando PAM
Analistas da Jamf Threat Labs identificaram um novo infostealer para macOS, o PamStealer, que se disfarça como o gerenciador de clipboard Maccy. A malware utiliza um método engenhoso para roubar senhas do sistema através do Pluggable Authentication Modules (PAM) antes de exfiltrar dados.
MundiX News·08 de julho de 2026·4 min de leitura·👁 1 views
Analistas da Jamf Threat Labs descobriram um infostealer incomum para macOS, denominado PamStealer. Esta malware se propaga através de sites falsos que imitam o site oficial do gerenciador de clipboard Maccy. A vítima é induzida a executar um AppleScript malicioso, que subsequentemente verifica a senha inserida pelo usuário através dos Pluggable Authentication Modules (PAM).
Os atacantes utilizam domínios como maccyapp[.]com e maccyapp[.]net, replicando fielmente o site oficial maccy.app. A partir desses sites fraudulentos, os usuários podem baixar um arquivo DMG contendo o script Maccy.scpt. Ao clicar duas vezes neste arquivo, o Script Editor é aberto, e a vítima é instruída a pressionar ⌘ + R ou o botão 'Run'. A lógica maliciosa está oculta por um grande bloco de linhas em branco, permitindo a execução do script mesmo que o arquivo possua o atributo com.apple.quarantine. Em vez de comandos comuns como curl ou zsh, o malware inicia um carregador JXA autônomo que obtém um segundo payload através das APIs nativas do Objective-C. Essa técnica torna a cadeia de infecção menos detectável por soluções de segurança.
Inicialmente, o PamStealer coleta informações do sistema, como a arquitetura do processador, localidade, layout do teclado e fuso horário. Com base nesses dados, uma chave é gerada para descriptografar a configuração, incluindo o endereço do payload e o caminho de instalação. É importante notar que o malware opera exclusivamente em Macs com Apple Silicon. Em máquinas baseadas em Intel, a chave não corresponde, impedindo a descriptografia da configuração e encerrando a execução do script. Além disso, a infecção é interrompida se o fuso horário, a localidade ou o layout do teclado indicarem que o usuário está em países como Rússia, Bielorrússia, Cazaquistão, Armênia, Azerbaijão, Quirguistão, Moldávia, Tajiquistão, Uzbequistão, Turcomenistão ou Geórgia. Se todas as verificações forem bem-sucedidas, o dropper baixa um binário Mach-O escrito em Rust. Este binário se disfarça como componentes do macOS, como Finder ou Atualização de Software, opera de forma oculta e se estabelece no sistema.
No sistema infectado, o PamStealer coleta dados de navegadores, o conteúdo da área de transferência, informações do iCloud Keychain e de extensões de carteiras de criptomoedas, além de detalhes sobre contas Ethereum. Todas as informações coletadas são criptografadas e enviadas para o servidor avenger-sync[.]live. Adicionalmente, a malware solicita o acesso Full Disk Access, podendo adiar essa ação em até 40 minutos para evitar que o usuário associe a solicitação à execução do Maccy. A característica mais notável deste infostealer é o roubo da senha do sistema através do Pluggable Authentication Modules (PAM), o mecanismo nativo do macOS para autenticação de usuários. Após a infecção, uma janela nativa aparece no dispositivo com a mensagem: "Maccy wants to make changes. Enter your password to allow this" ("Maccy solicita permissão para fazer alterações. Digite sua senha para permitir").
Se o usuário cair no golpe, a senha inserida é verificada localmente através da API do PAM, sem a necessidade de executar dscl, security, osascript ou processos adicionais. Caso a senha esteja incorreta, a solicitação se repetirá até que a vítima insira a senha correta. Em seguida, o PamStealer exibe um aviso falso ao usuário, informando que o Maccy está corrompido e deve ser movido para o lixo. Neste ponto, a senha já foi roubada, os dados foram coletados e a malware se estabeleceu no sistema. A mensagem falsa serve como um distrativo para que o usuário acredite ter baixado um instalador defeituoso e remova a isca. O desenvolvedor do Maccy, Alex Rodionov, já emitiu um aviso no site oficial do projeto e no GitHub, reforçando que maccy.app é o único site oficial da aplicação.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Analistas da Jamf Threat Labs descobriram um infostealer incomum para macOS, denominado PamStealer. Esta malware se propaga através de sites falsos que imitam o site oficial do gerenciador de clipboard Maccy. A vítima é induzida a executar um AppleScript malicioso, que subsequentemente verifica a senha inserida pelo usuário através dos Pluggable Authentication Modules (PAM).
Os atacantes utilizam domínios como maccyapp[.]com e maccyapp[.]net, replicando fielmente o site oficial maccy.app. A partir desses sites fraudulentos, os usuários podem baixar um arquivo DMG contendo o script Maccy.scpt. Ao clicar duas vezes neste arquivo, o Script Editor é aberto, e a vítima é instruída a pressionar ⌘ + R ou o botão 'Run'. A lógica maliciosa está oculta por um grande bloco de linhas em branco, permitindo a execução do script mesmo que o arquivo possua o atributo com.apple.quarantine. Em vez de comandos comuns como curl ou zsh, o malware inicia um carregador JXA autônomo que obtém um segundo payload através das APIs nativas do Objective-C. Essa técnica torna a cadeia de infecção menos detectável por soluções de segurança.
Inicialmente, o PamStealer coleta informações do sistema, como a arquitetura do processador, localidade, layout do teclado e fuso horário. Com base nesses dados, uma chave é gerada para descriptografar a configuração, incluindo o endereço do payload e o caminho de instalação. É importante notar que o malware opera exclusivamente em Macs com Apple Silicon. Em máquinas baseadas em Intel, a chave não corresponde, impedindo a descriptografia da configuração e encerrando a execução do script. Além disso, a infecção é interrompida se o fuso horário, a localidade ou o layout do teclado indicarem que o usuário está em países como Rússia, Bielorrússia, Cazaquistão, Armênia, Azerbaijão, Quirguistão, Moldávia, Tajiquistão, Uzbequistão, Turcomenistão ou Geórgia. Se todas as verificações forem bem-sucedidas, o dropper baixa um binário Mach-O escrito em Rust. Este binário se disfarça como componentes do macOS, como Finder ou Atualização de Software, opera de forma oculta e se estabelece no sistema.
No sistema infectado, o PamStealer coleta dados de navegadores, o conteúdo da área de transferência, informações do iCloud Keychain e de extensões de carteiras de criptomoedas, além de detalhes sobre contas Ethereum. Todas as informações coletadas são criptografadas e enviadas para o servidor avenger-sync[.]live. Adicionalmente, a malware solicita o acesso Full Disk Access, podendo adiar essa ação em até 40 minutos para evitar que o usuário associe a solicitação à execução do Maccy. A característica mais notável deste infostealer é o roubo da senha do sistema através do Pluggable Authentication Modules (PAM), o mecanismo nativo do macOS para autenticação de usuários. Após a infecção, uma janela nativa aparece no dispositivo com a mensagem: "Maccy wants to make changes. Enter your password to allow this" ("Maccy solicita permissão para fazer alterações. Digite sua senha para permitir").
Se o usuário cair no golpe, a senha inserida é verificada localmente através da API do PAM, sem a necessidade de executar dscl, security, osascript ou processos adicionais. Caso a senha esteja incorreta, a solicitação se repetirá até que a vítima insira a senha correta. Em seguida, o PamStealer exibe um aviso falso ao usuário, informando que o Maccy está corrompido e deve ser movido para o lixo. Neste ponto, a senha já foi roubada, os dados foram coletados e a malware se estabeleceu no sistema. A mensagem falsa serve como um distrativo para que o usuário acredite ter baixado um instalador defeituoso e remova a isca. O desenvolvedor do Maccy, Alex Rodionov, já emitiu um aviso no site oficial do projeto e no GitHub, reforçando que maccy.app é o único site oficial da aplicação.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.