Aplicación falsa de portapapeles de Mac entrega nuevo malware robador de contraseñas
Los usuarios de Mac que buscan el administrador de portapapeles de código abierto Maccy están siendo blanco de una versión falsa de la aplicación que instala un nuevo infostealer basado en Rust llamado PamStealer, según la firma de ciberseguridad Jamf Threat Labs. Si tiene éxito, el malware podría robar las contraseñas de los usuarios y las claves de sus billeteras de criptomonedas.
En un informe publicado el jueves, Jamf Threat Labs dijo que la campaña utiliza un sitio web similar para distribuir una imagen de disco que contiene un archivo AppleScript malicioso llamado Maccy.scpt. Cuando se abre, el archivo muestra instrucciones que indican a los usuarios que lo ejecuten en el Editor de Scripts de Apple mientras oculta el código malicioso más abajo en el documento.
"Estamos rastreando este malware bajo el nombre PamStealer después de uno de sus comportamientos principales: validar la contraseña de inicio de sesión de la víctima a través de los Módulos de Autenticación Plugable de macOS (PAM) antes de recolectarla", escribió Jamf Threat Labs.
A partir de ahí, el malware utiliza JavaScript para Automatización y APIs nativas de macOS para descargar una carga útil de segunda etapa sin depender de utilidades de shell comunes como curl o zsh, reduciendo el número de procesos que las herramientas de seguridad pueden observar.
"Con muchos robadores, hemos visto a los atacantes comprar espacio publicitario en Google para atraer a los usuarios a la aplicación maliciosa. Recientemente hemos observado anuncios maliciosos alojados en X también", dijo Jaron Bradley, director de Jamf Threat Labs, a Decrypt. "Estas técnicas de ingeniería social han demostrado ser altamente exitosas."
Según el informe, la segunda etapa es un binario basado en Rust diseñado para Macs con Apple Silicon que se disfraza de Finder o Actualización de Software.
"En lugar de almacenar su configuración en texto claro, el dropper deriva una clave de una huella digital del host, incluyendo su arquitectura de CPU, configuración regional, diseño de teclado y zona horaria, y la utiliza para desbloquear una configuración cifrada y verificada de integridad que contiene la URL de la carga útil y la ruta de instalación", dijo la compañía.
Una vez instalado, el malware puede robar credenciales del navegador y datos de Keychain, monitorear el contenido del portapapeles, establecer persistencia y enviar información robada a un servidor de comando y control remoto utilizando comunicaciones cifradas. Si no puede verificar que se está ejecutando en su objetivo previsto, entonces se apaga silenciosamente.
El malware también intenta expandir su acceso mostrando una alerta falsa de Finder que pide a los usuarios que otorguen Acceso Completo al Disco. El aviso puede aparecer hasta 40 minutos después de la infección, lo que hace menos probable que los usuarios lo asocien con la descarga original. Si se aprueba, el malware puede acceder a datos protegidos, incluyendo Mail, Mensajes y copias de seguridad de Time Machine.
Según Bradley, Jamf no ha observado ninguna evidencia de que PamStealer esté activo en la naturaleza; sin embargo, la compañía notificó a Apple sobre sus hallazgos. Apple no respondió de inmediato a una solicitud de comentarios de Decrypt.
Jamf dijo que está viendo técnicas similares de ingeniería social expandirse a otras plataformas.
En una publicación en X la semana pasada, la compañía dijo que estaba investigando un anuncio patrocinado en X que promovía DynamicLake y redirigía a los usuarios a dynamicmacisland.com, donde se les indicaba que abrieran Terminal y ejecutaran un comando de instalación.
"El anuncio fue entregado a través de una cuenta verificada de X, añadiendo otra capa de confianza a la ingeniería social", escribió la firma. "El análisis de la carga útil reveló una variante reciente de Atomic (MacSync) Stealer."
Los hallazgos se producen a medida que los atacantes disfrazan cada vez más el malware como software legítimo y abusan de plataformas de desarrolladores de confianza y canales publicitarios. Las campañas recientes han incluido un repositorio falso de OpenAI que alcanzó la cima de los proyectos en tendencia de Hugging Face antes de distribuir un infostealer basado en Rust, una extensión maliciosa de Visual Studio Code que GitHub dijo que expuso aproximadamente 3,800 repositorios internos, y la campaña de cadena de suministro de software Shai-Hulud que apunta a herramientas de desarrollo utilizadas por empresas de IA, incluyendo OpenAI y Mistral AI.
Descargo de responsabilidad: Este contenido se proporciona únicamente con fines generales de desarrollo de marca e informativos y no constituye asesoramiento financiero, de inversión, legal ni fiscal. Cualquier evento, recompensa, evento en línea o información relacionada que se mencione en el presente documento no debe considerarse como una recomendación, solicitud o invitación para comprar, vender, tradear o negociar de cualquier otra forma con cualquier criptoactivo o para utilizar cualquier servicio. Los criptoactivos son sumamente volátiles y pueden provocar pérdidas. Es posible que los servicios de WEEX y los eventos en línea no estén disponibles en todas las regiones, así como que estén sujetos a las leyes, regulaciones y requisitos de elegibilidad vigentes. Usted es responsable de asegurarse de que su uso de los servicios de WEEX cumpla con las leyes locales y de evaluar cuidadosamente los riesgos antes de participar en cualquier actividad relacionada con las criptomonedas.
También te puede interesar

El exinvestigador de la Fundación Ethereum Francesco D’Amato se une a Ethlabs

Propuesta en foro de Ethereum apunta a pagos privados on-chain

Goldman Sachs ve que los centros de datos de IA impulsarán la demanda de almacenamiento en EE. UU.

El costo de la masificación de DeFi: Comprendiendo la distribución de beneficios y los riesgos ocultos de Aave Stable Vaults

Análisis del Valor de Inversión Profunda de NEAR: Reevaluando el Valor desde la Evolución de la Arquitectura Subyacente hasta el Sistema Operativo de IA de Cadena Completa

La lucha contra el spam de Bitcoin recibe una respuesta en 'Modo DOG'
![[Análisis del mercado] Estimación de que 1 de cada 30 adultos en Corea del Sur enfrenta un margin call tras el colapso del KOSPI](/public-static/32_e2da91fed2.png?format=avif)
[Análisis del mercado] Estimación de que 1 de cada 30 adultos en Corea del Sur enfrenta un margin call tras el colapso del KOSPI

Comisión de la Duma rusa rechaza enmiendas más flexibles al proyecto de ley cripto

La FSS de Corea del Sur monitoreará el trading con margen en las corredoras

El gobierno impulsa la inclusión de activos digitales en los 1400 billones de activos nacionales... No es un 'SBR' al estilo coreano, sino una revisión del sistema de gestión

Bitget UEX Diario|Advertencias de la Reserva Federal sobre riesgos inflacionarios; caída del Nasdaq liderada por el sector de almacenamiento; la situación en Oriente Medio eleva los precios del petróleo (17 de julio de 2026)

Crítica a la "autocrítica" de Base

El futuro de los mercados de predicción y el mercado japonés, el CEO de Limitless habla sobre el diseño institucional|WebX2026

¿Monetizando el 'Efecto Presidencial'? La empresa de medios de Trump lanza el privilegio de 'Vista previa de Tweets' a la venta

¿Cómo funcionan los contratos de eventos? Comparativa de 4 plataformas populares

Netflix decepciona en el 2T26: ¿qué explica la caída del 8%?

Filtraciones Revelan que Suno Alimentó Miles de Horas de Datos de Deezer, YouTube y Pond5 a su IA

Una nueva empresa que mantiene pequeñas y medianas empresas y acumula Bitcoin, Orange Juice, se establece en EE. UU.

20 Millones de Bitcoins Minados: ¿La escasez redefine la soberanía monetaria?

¡Peter Schiff: Bitcoin podría caer a 20,000 dólares!

Reino Unido condena a banda que robó £ 4 millones en criptomonedas haciéndose pasar por policías

Un pool de minería solitario de Bitcoin dispara su hashrate y suma su cuarto bloque

Propuesta de Recuperación Q-Day de Bitcoin Busca Permitir a los Usuarios Probar la Propiedad Después de un Ataque Cuántico

Cripto: Las ballenas de XRP reducen su actividad en Binance según CryptoQuant

¡Gracias Odysee! El veredicto del mercado sobre la libertad

Ethereum vs Hyperliquid: Comparación de Whitepapers (2026)

Mira Murati Lanza Su Primer Modelo de IA Tras Dejar OpenAI—Y Es Totalmente de Código Abierto

Custodia Multi-Institucional y la Búsqueda de Seguridad

Citadel Securities invierte $400 millones en Crypto.com con una valoración de $20 mil millones














