Una falsa aplicación de portapapeles de Mac entrega un nuevo malware que roba contraseñas
Los usuarios de Mac que buscan el gestor de portapapeles de código abierto Maccy están siendo atacados por una versión falsa de la aplicación que instala un nuevo infostealer basado en Rust llamado PamStealer, según la firma de ciberseguridad Jamf Threat Labs. Si tiene éxito, el malware podría robar las contraseñas de los usuarios y las claves de sus billeteras de criptomonedas.
En un informe publicado el jueves, Jamf Threat Labs dijo que la campaña utiliza un sitio web similar para distribuir una imagen de disco que contiene un archivo de AppleScript malicioso llamado Maccy.scpt. Cuando se abre, el archivo muestra instrucciones que indican a los usuarios que lo ejecuten en el Editor de Scripts de Apple mientras oculta el código malicioso más abajo en el documento.
"Estamos rastreando este malware bajo el nombre PamStealer después de uno de sus comportamientos principales: validar la contraseña de inicio de sesión de la víctima a través de los Módulos de Autenticación Plugable de macOS (PAM) antes de recolectarla", escribió Jamf Threat Labs.
A partir de ahí, el malware utiliza JavaScript para Automatización y APIs nativas de macOS para descargar una carga útil de segunda etapa sin depender de utilidades de shell comunes como curl o zsh, reduciendo el número de procesos que las herramientas de seguridad pueden observar.
"Con muchos robadores, hemos visto a los atacantes comprar espacio publicitario en Google para atraer a los usuarios a la aplicación maliciosa. También hemos observado recientemente anuncios maliciosos alojados en X", dijo Jaron Bradley, director de Jamf Threat Labs, a Decrypt. "Estas técnicas de ingeniería social han demostrado ser muy exitosas."
Según el informe, la segunda etapa es un binario basado en Rust diseñado para Macs con Apple Silicon que se disfraza de Finder o Actualización de Software.
"En lugar de almacenar su configuración en texto claro, el dropper deriva una clave de una huella digital del host, incluyendo su arquitectura de CPU, configuración regional, diseño de teclado y zona horaria, y la utiliza para desbloquear una configuración encriptada y verificada que contiene la URL de la carga útil y la ruta de instalación", dijo la empresa.
Una vez instalado, el malware puede robar credenciales del navegador y datos de Keychain, monitorear el contenido del portapapeles, establecer persistencia y enviar información robada a un servidor de comando y control remoto utilizando comunicaciones encriptadas. Si no puede verificar que se está ejecutando en su objetivo previsto, entonces se apaga silenciosamente.
El malware también intenta expandir su acceso mostrando una alerta falsa de Finder que pide a los usuarios que otorguen Acceso Completo al Disco. El aviso puede aparecer hasta 40 minutos después de la infección, lo que hace menos probable que los usuarios lo asocien con la descarga original. Si se aprueba, el malware puede acceder a datos protegidos, incluyendo Mail, Mensajes y copias de seguridad de Time Machine.
Según Bradley, Jamf no ha observado ninguna evidencia de que PamStealer esté activo en la naturaleza; sin embargo, la empresa notificó a Apple sobre sus hallazgos. Apple no respondió de inmediato a una solicitud de comentario de Decrypt.
Jamf dijo que está viendo técnicas similares de ingeniería social expandirse a otras plataformas.
En una publicación en X la semana pasada, la empresa dijo que estaba investigando un anuncio patrocinado en X que promovía DynamicLake y redirigía a los usuarios a dynamicmacisland.com, donde se les instruía a abrir Terminal y ejecutar un comando de instalación.
"El anuncio fue entregado a través de una cuenta verificada de X, añadiendo otra capa de confianza a la ingeniería social", escribió la firma. "El análisis de la carga útil reveló una variante reciente de Atomic (MacSync) Stealer."
Los hallazgos se producen a medida que los atacantes disfrazan cada vez más el malware como software legítimo y abusan de plataformas de desarrolladores de confianza y canales publicitarios. Las campañas recientes han incluido un repositorio falso de OpenAI que alcanzó la cima de los proyectos en tendencia de Hugging Face antes de distribuir un infostealer basado en Rust, una extensión maliciosa de Visual Studio Code que GitHub dijo que expuso aproximadamente 3,800 repositorios internos, y la campaña de cadena de suministro de software Shai-Hulud que apunta a herramientas de desarrollo utilizadas por empresas de IA, incluyendo OpenAI y Mistral AI.
Aviso legal: Este contenido se brinda únicamente con fines informativos y de marca, y no constituye asesoramiento financiero, de inversión, legal ni fiscal. Ningún evento, recompensa, evento en línea o información relacionada que se mencione aquí debe considerarse una recomendación, solicitud o invitación para comprar, vender, intercambiar u operar de cualquier otra forma con criptoactivos ni para utilizar ningún servicio. Los criptoactivos son altamente volátiles y pueden generar pérdidas. Los servicios y eventos en línea de WEEX pueden no estar disponibles en todas las regiones y están sujetos a las leyes, regulaciones y requisitos de elegibilidad aplicables. Usted es responsable de asegurarse de que su uso de los servicios de WEEX cumpla con las leyes locales y de evaluar cuidadosamente los riesgos antes de participar en cualquier actividad relacionada con criptomonedas.
Te puede gustar

Los mercados de predicción alcanzan los 100 millones de dólares anuales en dos meses: el producto más rápido de Coinbase

Cómo empezar con la cuenta Olive|Explicación de la vinculación con SBI Securities y la apertura de cuentas

5 gráficos para entender el mercado de criptomonedas del segundo trimestre: explosión de RWA y recuperación continua de los fundamentos

El camino de la energía nuclear que Sun Yuchen apoya inicia una ola de salidas a bolsa

Noxa se fue después de ganar 3 días, ¿qué se está negociando ahora en la cadena de Robinhood?

Galaxy lanza un paquete de préstamos DeFi con un "escudo" de 100 millones de USD

¿Por qué el capital comienza a abandonar las acciones de equipos mientras los semiconductores de IA siguen subiendo?

Pudgy Penguins anuncia: lanzará la serie de cómics originales de Pax Pengu y Polly en la Comic-Con de San Diego 2026

SBI, DigiFT y Startale inician PoC de fondos de acciones con el token JPYSC

¿Quién tiene el poder de pausar la IA?

El profesor Sakai de la Universidad de Keio habla sobre "El siglo de los mercados predictivos: la implementación social de la inteligencia colectiva"|WebX2026

¿Qué es la prueba Howey? La regla de 1946 que decide qué tokens son valores

Información importante de la noche y la mañana (14-15 de julio)

Discurso principal de Sun Yuchen en WebX 2026: TRON avanza hacia una base financiera de inteligencia artificial

¡El gobierno británico anuncia una gran relajación de las normas fiscales sobre DeFi! El fundador de Aave, Stani Kulechov, expresa su apoyo públicamente

¿Qué es un desbloqueo de token? Explicación de la adquisición, los períodos de espera y los cronogramas de suministro

Detención del dominio "t.me" de Telegram afecta el acceso a TON Wallet y al ecosistema de criptomonedas

Entender el artículo de economía de agentes del fundador de Circle y vislumbrar cómo se reconfigurará la economía en la próxima década

La Era de los Descubrimientos de HashKey On-Chain: Abrazando Completamente RWA y Construyendo un Nuevo Paradigma de Infraestructura Financiera en la Cadena

Estrategia financiera en cadena de los 3 megabancos: El futuro de los bancos transformado por stablecoins y AI|WebX2026

La Asociación Bancaria de EE. UU. exige el fortalecimiento de la regulación de intereses de las stablecoins y envía una carta a senadores

El mercado de Bitcoin presenta "tres condiciones favorables", pero la recuperación de la tendencia aún está por verse = Wintermute

Un año después, "Lean Ethereum" vuelve a comenzar: ¿qué quiere entregar Ethereum?

La votación de gobernanza de NEAR para eliminar los reembolsos de gas pone en revisión los incentivos para desarrolladores

La participación ampliada de eToro muestra que los corredores minoristas aún están interesados en los derivados en cadena

Deflación en EE.UU. en junio: ¿qué cambia para tus inversiones?

Las sanciones de OFAC a FirstVPN muestran que la aplicación de criptomonedas avanza en la infraestructura

El lanzamiento de Kraken Card devuelve el gasto diario en criptomonedas a la carrera de intercambios

El hilo de investigación de Ethereum vuelve a centrar la resistencia Sybil en las redes descentralizadas













