Jamf Threat Labs ha individuato PamStealer, un nuovo infostealer per macOS che si distingue per un dettaglio insolito: prima di esfiltrare la password di accesso rubata, la verifica tramite le API PAM di sistema, assicurandosi di trasmettere solo credenziali effettivamente valide. La scoperta, firmata dal ricercatore Thijs Xhaflaire, � descritta in un'analisi tecnica pubblicata sul blog di Jamf Threat Labs. Il vettore di distribuzione � un sito civetta, maccyapp[.]com, che imita l'aspetto del legittimo Maccy, clipboard manager open source per macOS il cui dominio ufficiale � invece maccy.app. Da l� la vittima scarica un'immagine disco contenente il primo stadio dell'infezione, un file AppleScript compilato (.scpt). Un dropper pensato per non lasciare tracce Il file .scpt si apre in Script Editor e mostra istruzioni che invitano l'utente a premere ⌘+R per eseguirlo: la combinazione fa girare il codice malevolo nascosto in fondo al file, bypassando l'attributo com.apple.quarantine che innescherebbe altrimenti i controlli di Gatekeeper. Il downloader successivo, scritto in JXA (JavaScript for Automation), scarica e prepara il payload usando direttamente le API Objective-C native come NSURLSession, evitando comandi shell come curl o zsh e riducendo cos� gli artefatti di processo visibili ai sistemi di difesa. La schermata che induce l'utente all'esecuzione - Fonte: Jamf Threat Labs Prima di procedere, il dropper esegue un fingerprinting dell'ambiente: deriva una chiave crittografica dall'architettura della CPU, dalla lingua di sistema, dal layout di tastiera e dal fuso orario dell'host. La configurazione cifrata, che contiene l'URL del payload vero e proprio e il percorso di installazione, si sblocca solo su Apple Silicon; su un Mac Intel la chiave risultante � diversa e il dropper si ferma senza fare nulla. Lo stesso controllo esclude sistemi con fuso orario, lingua o tastiera riconducibili a Russia, Bielorussia, Kazakistan, Armenia, Azerbaigian, Kirghizistan, Moldavia, Tagikistan, Uzbekistan, Turkmenistan e Georgia. Si maschera da Finder e convalida la password prima di rubarla Superati questi controlli, il secondo stadio, un binario Mach-O arm64 scritto in Rust, si installa in ~/Library/Application Support/com.apple.finder.core/Finder.app, usa l'icona autentica di Finder e resta nascosto, senza finestre n� presenza nel Dock. � qui che compare la caratteristica che d� il nome al malware: PamStealer mostra un prompt nativo di sistema che chiede la password di login e la convalida attraverso le funzioni pam_start, pam_authenticate e pam_end delle PAM di macOS. Se la password inserita � sbagliata, il prompt ricompare finch� la vittima non digita quella corretta. Secondo Jamf, l'intera verifica avviene tramite l'API, senza appoggiarsi a processi esterni come dscl, security o osascript: una scelta che rende la routine pi� silenziosa rispetto alla maggior parte degli infostealer commodity per macOS. Ottenuta la password valida, il malware mostra un falso avviso che imita Gatekeeper, "'Maccy' is damaged and can't be opened. You should move it to the Trash", per convincere la vittima che il download fosse semplicemente corrotto mentre il payload gira gi� e la password � gi� stata esfiltrata. Furto dati, persistenza e infrastruttura C2 Il secondo stadio sottrae credenziali e cookie dei browser, database SQLite, il contenuto degli appunti (catturato con pbpaste a intervalli irregolari), estensioni per wallet crypto e il portachiavi iCloud. I dati vengono cifrati con ChaCha20-Poly1305 e inviati via HTTP POST verso l'infrastruttura di comando e controllo avenger-sync[.]live, riparata dietro Cloudflare; le chiavi di cifratura sono derivate a runtime e non vengono mai scritte su disco. Per estendere l'accesso, il malware tenta di ottenere i permessi di Accesso completo al disco con un falso alert di sistema, sempre con l'icona di Finder, che propone di aprire direttamente la sezione corrispondente nelle Impostazioni: la richiesta compare con un ritardo fino a 40 minuti dal lancio, per non destare sospetti. La persistenza � affidata a due meccanismi paralleli, SMAppService e il pi� datato LSSharedFileListInsertItemURL, quest'ultimo implementato da un piccolo helper arm64 da circa 34 KB incorporato nel binario Rust, che si scrive in /private/tmp/System Settings impersonando le Impostazioni di Sistema. Fra i dettagli pi� curiosi trovati da Jamf nella configurazione C2 decifrata, denominata internamente "avenger-config-v2", ci sono due endpoint pubblici Ethereum JSON-RPC (eth.drpc.org e ethereum-rpc.publicnode[.]com), a cui il finto processo Finder si connette effettivamente. Lo scopo preciso, se un canale C2 resiliente basato su blockchain o una forma di ricognizione sui wallet della vittima, non risulta confermato nelle fonti disponibili. Un altro accorgimento anti-analisi riguarda il testo esca nel file .scpt, che usa caratteri greci e cirillici visivamente identici a quelli latini nella parola "Maccy" per ostacolare il riconoscimento automatico del contenuto decoy. Alex Rodionov, sviluppatore di Maccy, ha aggiunto avvisi sul sito ufficiale e su GitHub per mettere in guardia gli utenti. Le analisi confermano che la catena di esecuzione di PamStealer punta soprattutto a restare silenziosa, evitando ogni comando che potrebbe far scattare un alert.
PamStealer, il malware per Mac che prima verifica la password rubata e poi la usa
Jamf Threat Labs ha scoperto PamStealer, infostealer macOS in due stadi diffuso da un sito che imita Maccy: convalida la password rubata tramite le PAM di sistema prima di esfiltrarla, per non trasmettere credenziali sbagliate










