Investigadores de Jamf han identificado PamStealer, un malware nunca antes visto para macOS que roba credenciales mediante una cadena de infección en dos fases y técnicas de sigilo poco habituales en este tipo de código. Se distribuye en una imagen de disco que suplanta a Maccy, un gestor de portapapeles legítimo, y se compila como AppleScript cuyo contenido malicioso permanece oculto al abrirse en el Editor de Scripts.
Al ejecutar el archivo se solicita al usuario pulsar Comando-R, lo que activa código malicioso dentro del AppleScript y permite saltarse el atributo com.apple.quarantine, la protección de macOS frente a archivos descargados de Internet. En lugar de recurrir a shell con curl o zsh, el AppleScript ejecuta un downloader JXA que descarga y prepara el payload usando APIs nativas de Objective-C. La segunda fase, escrita en Rust, utiliza la interfaz PAM (Pluggable Authentication Modules) de macOS para validar localmente la contraseña del usuario antes de enviarla a un servidor controlado por el atacante.
El malware se camufla como procesos legítimos del sistema, por ejemplo Finder.app bajo identificaciones como com.apple.finder.core, y muestra iconos genuinos del sistema como Finder.icns. Además, cifra las comunicaciones con su servidor de mando y control y retrasa hasta 40 minutos solicitudes críticas como la de Acceso total a disco para evitar que su actividad coincida con el momento del lanzamiento. Según Jamf, este encadenamiento ilustra cómo los stealers comerciales para macOS evolucionan hacia implementaciones más silenciosas y nativas, compatibles con funciones estándar del sistema y más difíciles de detectar.
