I ricercatori di Jamf Threat Labs hanno individuato una nuova e temibile famiglia di malware per macOS, ribattezzata PamStealer, che dimostra quanto gli infostealer rivolti ai computer Apple stiano diventando più sofisticati.

La minaccia non si limita a sottrarre password e dati sensibili: utilizza una catena di infezione pensata per ridurre al minimo gli indicatori che normalmente permettono agli strumenti di sicurezza di rilevare attività sospette. Il codice malevolo si integra con diversi componenti nativi del sistema operativo, sfruttando funzioni legittime invece di ricorrere a tecniche facilmente individuabili, come confermano diverse analisi pubblicate negli scorsi giorni da testate specializzate.

Un finto installer che imita Maccy

L’infezione parte da un sito contraffatto che riproduce quello di Maccy, il popolare gestore open source degli appunti per macOS.

Chi scarica il file crede di installare l’app originale, ma in realtà apre uno script AppleScript compilato: il codice dannoso resta nascosto tra righe apparentemente innocue, mentre l’utente viene invitato a premere Command-R per eseguirlo. Questo passaggio consente di aggirare alcuni controlli legati alla quarantena che macOS applica ai file scaricati da Internet.