PamStealer usa sites falsos do Maccy e checks de PAM para roubar senhas de login no Mac
3 de Julho de 2026

Pesquisadores de cibersegurança identificaram um novo infostealer para macOS chamado PamStealer, que usa uma sequência de artifícios para infectar sistemas e roubar dados sensíveis.

Descoberto pela Jamf Threat Labs, o stealer é distribuído como um arquivo AppleScript compilado (.scpt) que se passa pelo Maccy, um gerenciador de área de transferência legítimo e open source.

O nome PamStealer foi dado porque o malware consegue validar a senha de login da vítima por meio do módulo PAM do macOS antes de capturá-la.

O malware é entregue em duas etapas.

A primeira consiste em um AppleScript compilado distribuído dentro de uma imagem de disco, criada para baixar e preparar a carga útil seguinte.

O segundo artefato é um infostealer baseado em Rust, capaz de roubar credenciais, coletar dados de navegadores, manter persistência e exfiltrar informações.

O vetor inicial de acesso é um site falso, "maccyapp[.]com", que imita o Maccy, disponível em "maccy[.]app".

Dentro da imagem de disco, o arquivo AppleScript "Maccy.scpt" executa um downloader JXA, uma automação em JavaScript, que baixa e prepara a carga maliciosa usando APIs nativas de Objective-C.

O que chama atenção é que, ao ser aberto no Editor de Scripts, o arquivo exibe instruções para ser executado com o atalho "⌘ + R" ou pelo botão Executar.

Com isso, a lógica maliciosa escondida no arquivo, abaixo de um grande bloco de linhas em branco, é ativada.

"Notavelmente, isso funciona mesmo quando o arquivo ainda mantém o atributo com.apple.quarantine, o que torna a abordagem atraente para atacantes enquanto a Apple continua endurecendo o Gatekeeper e o Terminal", afirmou o pesquisador de segurança Thijs Xhaflaire.

"Somando uma segunda etapa em Rust e um fluxo de captura de senha que valida as credenciais localmente via PAM, o resultado é uma cadeia de execução mais discreta do que normalmente observamos em stealers comuns para macOS."

O dropper em AppleScript incorpora recursos sensíveis ao ambiente, que permitem a execução apenas depois de fazer a impressão digital da máquina e confirmar que ela roda em Apple Silicon.

Para isso, ele deriva uma chave com base nessa impressão, que inclui detalhes como arquitetura da CPU, idioma, layout do teclado e fuso horário.

Em seguida, usa essa chave para desbloquear uma configuração criptografada que contém a URL da carga útil e o caminho de instalação.

Em Macs com processadores Intel, a chave de decriptação derivada é diferente e falha ao decodificar a configuração, o que encerra o dropper.

O script também evita ser executado em ambientes de sandbox ou análise, além de sistemas cujo fuso horário, idioma do sistema e entrada de teclado indiquem países do Leste Europeu, como Rússia, Belarus, Cazaquistão, Armênia, Azerbaijão, Quirguistão, Moldávia, Tajiquistão, Uzbequistão, Turcomenistão e Geórgia.

Após passar pelas verificações, o script contata o servidor externo e baixa um binário Mach-O escrito em Rust que se disfarça como o app Finder.

Esse arquivo é responsável por coletar dados de navegadores, extensões de carteiras de criptomoedas, iCloud Keychain e conteúdo da área de transferência.

As informações capturadas são então criptografadas e exfiltradas para uma infraestrutura controlada pelos atacantes, em "avenger-sync[.]live", por meio de uma requisição HTTP de saída.

Além de tentar convencer o usuário a conceder acesso total ao sistema de arquivos, o stealer exibe um prompt nativo de senha, coleta a senha do sistema da vítima e depois valida o que foi digitado por meio da API PAM.

Se a validação falhar, ele pede para o usuário digitar a senha novamente e repete o ciclo até receber a senha correta.

"Depois que uma senha válida é capturada, o stealer mostra um segundo alerta falso: 'Maccy is damaged and can't be opened.

You should move it to the Trash', uma cópia próxima da mensagem legítima do Gatekeeper", informou a Jamf.

"Isso é uma distração.

Quando essa mensagem aparece, a carga útil já foi executada, a senha já foi capturada e a persistência já foi registrada.

O aviso serve apenas para levar a vítima a descartar a isca e assumir que o download estava corrompido."

O binário em Rust também inclui um pequeno Mach-O arm64 que se faz passar pelo Ajustes do Sistema do macOS e é usado para configurar a persistência.

O caso levou Alex Rodionov, desenvolvedor do Maccy, a incluir um alerta em seu site e no repositório do GitHub: "Cuidado com sites falsos que imitam o Maccy.

Sites maliciosos, como maccyapp[.]net e maccyapp[.]com, distribuem malware disfarçado de Maccy.

O site oficial é apenas maccy.app."

"Juntos, esses comportamentos mostram como os stealers comuns para macOS continuam evoluindo, adotando cadeias de execução mais discretas e implementações nativas que reduzem as chances de detecção tradicional, ao mesmo tempo em que permanecem compatíveis com recursos padrão do macOS", disse a Jamf.

Publicidade

Anuncie no CaveiraTech e coloque sua marca na frente de milhares de profissionais de cybersecurity

Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...