Una falsa aplicación de portapapeles de Mac entrega un nuevo malware que roba contraseñas

By: rootdata|2026/07/05 15:46:01

Los usuarios de Mac que buscan el gestor de portapapeles de código abierto Maccy están siendo atacados por una versión falsa de la aplicación que instala un nuevo infostealer basado en Rust llamado PamStealer, según la firma de ciberseguridad Jamf Threat Labs. Si tiene éxito, el malware podría robar las contraseñas de los usuarios y las claves de sus billeteras de criptomonedas.

En un informe publicado el jueves, Jamf Threat Labs dijo que la campaña utiliza un sitio web similar para distribuir una imagen de disco que contiene un archivo de AppleScript malicioso llamado Maccy.scpt. Cuando se abre, el archivo muestra instrucciones que indican a los usuarios que lo ejecuten en el Editor de Scripts de Apple mientras oculta el código malicioso más abajo en el documento.

"Estamos rastreando este malware bajo el nombre PamStealer después de uno de sus comportamientos principales: validar la contraseña de inicio de sesión de la víctima a través de los Módulos de Autenticación Plugable de macOS (PAM) antes de recolectarla", escribió Jamf Threat Labs.

A partir de ahí, el malware utiliza JavaScript para Automatización y APIs nativas de macOS para descargar una carga útil de segunda etapa sin depender de utilidades de shell comunes como curl o zsh, reduciendo el número de procesos que las herramientas de seguridad pueden observar.

"Con muchos robadores, hemos visto a los atacantes comprar espacio publicitario en Google para atraer a los usuarios a la aplicación maliciosa. También hemos observado recientemente anuncios maliciosos alojados en X", dijo Jaron Bradley, director de Jamf Threat Labs, a Decrypt. "Estas técnicas de ingeniería social han demostrado ser muy exitosas."

Según el informe, la segunda etapa es un binario basado en Rust diseñado para Macs con Apple Silicon que se disfraza de Finder o Actualización de Software.

"En lugar de almacenar su configuración en texto claro, el dropper deriva una clave de una huella digital del host, incluyendo su arquitectura de CPU, configuración regional, diseño de teclado y zona horaria, y la utiliza para desbloquear una configuración encriptada y verificada que contiene la URL de la carga útil y la ruta de instalación", dijo la empresa.

Una vez instalado, el malware puede robar credenciales del navegador y datos de Keychain, monitorear el contenido del portapapeles, establecer persistencia y enviar información robada a un servidor de comando y control remoto utilizando comunicaciones encriptadas. Si no puede verificar que se está ejecutando en su objetivo previsto, entonces se apaga silenciosamente.

El malware también intenta expandir su acceso mostrando una alerta falsa de Finder que pide a los usuarios que otorguen Acceso Completo al Disco. El aviso puede aparecer hasta 40 minutos después de la infección, lo que hace menos probable que los usuarios lo asocien con la descarga original. Si se aprueba, el malware puede acceder a datos protegidos, incluyendo Mail, Mensajes y copias de seguridad de Time Machine.

Según Bradley, Jamf no ha observado ninguna evidencia de que PamStealer esté activo en la naturaleza; sin embargo, la empresa notificó a Apple sobre sus hallazgos. Apple no respondió de inmediato a una solicitud de comentario de Decrypt.

Jamf dijo que está viendo técnicas similares de ingeniería social expandirse a otras plataformas.

En una publicación en X la semana pasada, la empresa dijo que estaba investigando un anuncio patrocinado en X que promovía DynamicLake y redirigía a los usuarios a dynamicmacisland.com, donde se les instruía a abrir Terminal y ejecutar un comando de instalación.

"El anuncio fue entregado a través de una cuenta verificada de X, añadiendo otra capa de confianza a la ingeniería social", escribió la firma. "El análisis de la carga útil reveló una variante reciente de Atomic (MacSync) Stealer."

Los hallazgos se producen a medida que los atacantes disfrazan cada vez más el malware como software legítimo y abusan de plataformas de desarrolladores de confianza y canales publicitarios. Las campañas recientes han incluido un repositorio falso de OpenAI que alcanzó la cima de los proyectos en tendencia de Hugging Face antes de distribuir un infostealer basado en Rust, una extensión maliciosa de Visual Studio Code que GitHub dijo que expuso aproximadamente 3,800 repositorios internos, y la campaña de cadena de suministro de software Shai-Hulud que apunta a herramientas de desarrollo utilizadas por empresas de IA, incluyendo OpenAI y Mistral AI.

Precio de --

--

Aviso legal: Este contenido se brinda únicamente con fines informativos y de marca, y no constituye asesoramiento financiero, de inversión, legal ni fiscal. Ningún evento, recompensa, evento en línea o información relacionada que se mencione aquí debe considerarse una recomendación, solicitud o invitación para comprar, vender, intercambiar u operar de cualquier otra forma con criptoactivos ni para utilizar ningún servicio. Los criptoactivos son altamente volátiles y pueden generar pérdidas. Los servicios y eventos en línea de WEEX pueden no estar disponibles en todas las regiones y están sujetos a las leyes, regulaciones y requisitos de elegibilidad aplicables. Usted es responsable de asegurarse de que su uso de los servicios de WEEX cumpla con las leyes locales y de evaluar cuidadosamente los riesgos antes de participar en cualquier actividad relacionada con criptomonedas.

Te puede gustar

iconiconiconiconiconiconicon
Atención al cliente:@weikecs
Cooperación empresarial:@weikecs
Trading cuantitativo y CM:bd@weex.com
Programa VIP:support@weex.com