PamStealer: nuevo malware para macOS que roba contraseñas mediante PAM

Fuentes: Newly discovered PamStealer isn't your typical macOS malware

Investigadores de Jamf han identificado PamStealer, un malware nunca antes visto para macOS que roba credenciales mediante una cadena de infección en dos fases y técnicas de sigilo poco habituales en este tipo de código. Se distribuye en una imagen de disco que suplanta a Maccy, un gestor de portapapeles legítimo, y se compila como AppleScript cuyo contenido malicioso permanece oculto al abrirse en el Editor de Scripts.

Al ejecutar el archivo se solicita al usuario pulsar Comando-R, lo que activa código malicioso dentro del AppleScript y permite saltarse el atributo com.apple.quarantine, la protección de macOS frente a archivos descargados de Internet. En lugar de recurrir a shell con curl o zsh, el AppleScript ejecuta un downloader JXA que descarga y prepara el payload usando APIs nativas de Objective-C. La segunda fase, escrita en Rust, utiliza la interfaz PAM (Pluggable Authentication Modules) de macOS para validar localmente la contraseña del usuario antes de enviarla a un servidor controlado por el atacante.

El malware se camufla como procesos legítimos del sistema, por ejemplo Finder.app bajo identificaciones como com.apple.finder.core, y muestra iconos genuinos del sistema como Finder.icns. Además, cifra las comunicaciones con su servidor de mando y control y retrasa hasta 40 minutos solicitudes críticas como la de Acceso total a disco para evitar que su actividad coincida con el momento del lanzamiento. Según Jamf, este encadenamiento ilustra cómo los stealers comerciales para macOS evolucionan hacia implementaciones más silenciosas y nativas, compatibles con funciones estándar del sistema y más difíciles de detectar.