pamstealer macos

PAMStealer colpisce macOS con falso Maccy e payload Rust su Apple Silicon

🛡️ Executive Summary

  • PAMStealer impersona il clipboard manager Maccy e infetta macOS tramite immagine DMG e dropper AppleScript.
  • Il payload Rust per Apple Silicon ruba password, dati browser, Keychain, clipboard, wallet e informazioni da applicazioni sensibili.
  • La mitigazione passa da download solo da fonti ufficiali, blocco degli script sospetti e monitoraggio di login item anomali.

PAMStealer segna un’evoluzione significativa nel panorama degli infostealer per macOS. La minaccia, analizzata da Jamf Threat Labs, si presenta come una copia malevola di Maccy, noto clipboard manager open source, e combina un dropper AppleScript con un secondo stadio scritto in Rust per rubare credenziali, contenuti della clipboard, dati dei browser, elementi del Keychain e informazioni legate a wallet crittografici. La campagna sfrutta social engineering, omografi nel nome del file, un dominio falso simile a quello del progetto legittimo e tecniche native di macOS per ridurre la visibilità. Il punto più rilevante è l’uso dei Pluggable Authentication Modules per validare localmente la password dell’utente prima dell’esfiltrazione, fornendo agli attaccanti una conferma immediata della credenziale rubata. Il malware prende di mira sistemi Apple Silicon e dimostra come gli attori malevoli stiano adottando linguaggi moderni, API di sistema e catene multi-stadio per superare l’idea, ormai superata, di un macOS marginale nel mercato degli stealer.

Il falso Maccy usa social engineering e omografi

La catena d’infezione parte da un’immagine DMG che contiene un file chiamato Maccy.scpt, ma il nome visibile sfrutta omografi con caratteri greci e cirillici per aggirare controlli superficiali basati su stringhe. La distribuzione avviene tramite il dominio falso maccyapp.com, costruito per imitare il sito legittimo maccy.app e intercettare utenti interessati al clipboard manager reale. L’attacco richiede una componente di interazione: la vittima viene indotta ad aprire lo script nell’Editor Script di macOS ed eseguirlo con ⌘+R, anche in presenza dell’attributo di quarantena applicato ai file scaricati da Internet. Questo schema richiama tecniche ClickFix adattate all’ambiente Apple, dove l’utente viene guidato a compiere manualmente passaggi che aggirano parte delle frizioni di sicurezza. Il valore operativo per l’attaccante è chiaro: invece di affidarsi a un exploit complesso, sfrutta familiarità, urgenza e fiducia verso un’applicazione nota. Per gli utenti macOS, il dettaglio più importante è la provenienza: Maccy resta un progetto legittimo, ma deve essere scaricato esclusivamente dal dominio ufficiale o da canali verificati, perché un nome quasi identico può nascondere una catena di furto credenziali.

Il dropper AppleScript evita shell e comandi rumorosi

image 109
PAMStealer colpisce macOS con falso Maccy e payload Rust su Apple Silicon 8

Il primo stadio è un AppleScript compilato che incorpora JavaScript for Automation offuscato. Secondo l’analisi di Jamf, il dropper non si affida ai comandi shell più evidenti come curl, zsh o script lanciati da Terminale, ma utilizza API native di macOS, tra cui NSURLSession e bridge Objective-C, per scaricare e predisporre il payload successivo. Questa scelta riduce alcuni segnali tradizionali usati dagli strumenti di sicurezza endpoint, perché il traffico e le operazioni sembrano provenire da componenti coerenti con l’ecosistema Apple. Il codice deriva una chiave dall’ambiente della vittima usando architettura CPU, locale, layout di tastiera e fuso orario, poi la impiega per sbloccare una configurazione crittografata con URL del payload e percorso di installazione. Sono presenti anche controlli geografici che escludono l’esecuzione in aree come Russia, Bielorussia e Kazakistan, verifiche anti-debugging e controlli sullo stato di System Integrity Protection. Il malware prepara infine un bundle applicativo fasullo che imita componenti di sistema come Finder.app o Software Update.app, lo firma ad-hoc con codesign e lo avvia in modo nascosto. Un marker locale segnala l’avvenuta installazione, evitando ripetizioni non necessarie del processo.

Il payload Rust punta ai Mac Apple Silicon

image 110
PAMStealer colpisce macOS con falso Maccy e payload Rust su Apple Silicon 9

Il secondo stadio è un binario Mach-O arm64 scritto in Rust, quindi orientato ai Mac con Apple Silicon. La scelta di Rust non è casuale: offre prestazioni native, gestione moderna della memoria e produce binari meno comuni nel panorama degli infostealer macOS tradizionali, complicando firme e routine di analisi costruite intorno a Objective-C, Swift o script shell. Il payload risulta stripped e molte stringhe vengono decodificate a runtime, limitando l’efficacia dell’analisi statica. Il malware carica dinamicamente Security.framework per interagire con il Keychain senza import statici facilmente identificabili, mentre integra SQLite per leggere direttamente database di credenziali, cookie e dati delle estensioni wallet nei browser. Questa architettura permette a PAMStealer di combinare furto mirato e raccolta estesa: password locali, dati browser, sessioni web, clipboard e wallet possono essere aggregati in un unico pacchetto prima dell’esfiltrazione. Il focus su Apple Silicon indica che gli operatori non stanno più trattando macOS come bersaglio secondario, ma sviluppano payload specifici per l’hardware moderno dell’ecosistema Apple, con tecniche pensate per integrarsi nei suoi framework.

La password viene validata tramite PAM prima del furto

Annuncio
image 111
PAMStealer colpisce macOS con falso Maccy e payload Rust su Apple Silicon 10

La caratteristica distintiva di PAMStealer è il furto della password di login con validazione locale tramite PAM, i Pluggable Authentication Modules di macOS. Il malware mostra un prompt NSAlert che imita una richiesta di autorizzazione di sistema, inducendo l’utente a inserire la propria password. Invece di raccogliere semplicemente la stringa e inviarla al server, il payload chiama funzioni come pam_start, pam_authenticate e pam_end per verificare immediatamente se la password sia corretta.

image 112
PAMStealer colpisce macOS con falso Maccy e payload Rust su Apple Silicon 11

Questo dettaglio aumenta il valore dell’esfiltrazione: l’attaccante riceve una credenziale già confermata, riducendo falsi positivi e tentativi successivi. Dal punto di vista difensivo, la tecnica è problematica perché evita strumenti esterni come dscl o security, spesso monitorati nelle catene di furto password. L’interazione avviene attraverso API locali e appare più simile a un normale flusso applicativo. Per le organizzazioni, l’implicazione è netta: i prompt di password generati da app non verificate devono essere considerati indicatori critici, soprattutto quando compaiono subito dopo l’apertura di software scaricato fuori da App Store, repository ufficiali o canali MDM controllati.

Clipboard, browser, Keychain e wallet sono nel mirino

Una volta attivo, PAMStealer monitora la clipboard a intervalli variabili, eseguendo pbpaste ogni 10-90 secondi. Questa funzione è particolarmente pericolosa perché gli utenti copiano spesso password temporanee, codici 2FA, seed phrase, indirizzi wallet, chiavi API, token, URL privati e frammenti di documenti riservati. Il malware raccoglie anche credenziali e cookie dai browser basati su Chromium e da Firefox, accedendo ai database SQLite locali. I cookie rubati possono permettere hijacking di sessione anche quando la password viene cambiata, mentre i database wallet e le estensioni crypto rappresentano un obiettivo ad alto valore economico.

image 113
PAMStealer colpisce macOS con falso Maccy e payload Rust su Apple Silicon 12

Jamf segnala anche l’accesso a dati del Keychain e la presenza di logiche legate a endpoint JSON-RPC Ethereum, potenzialmente utili per ricognizione o attività sui wallet. L’esfiltrazione avviene tramite richieste HTTP POST verso infrastruttura controllata dagli attaccanti, inclusa avenger-sync.live, con payload cifrato tramite ChaCha20-Poly1305 all’interno di un envelope JSON. La cifratura dei dati in uscita rende più difficile ispezionare il contenuto del traffico a posteriori, soprattutto se le chiavi vengono derivate a runtime e non persistite sul disco.

Persistenza e ritardi rompono l’associazione temporale

PAMStealer integra più tecniche per restare attivo e ridurre la probabilità che l’utente colleghi l’infezione all’apertura del falso Maccy. Un componente Mach-O embedded viene scritto in /private/tmp/System Settings e usato per aggiungere persistenza attraverso LSSharedFileListInsertItemURL, API legacy ancora utile per manipolare elementi di login. Il malware registra bundle fasulli come login item sia tramite l’API moderna ServiceManagement sia con metodi legacy, aumentando la probabilità di sopravvivere a riavvii e variazioni di configurazione. Un elemento importante è il ritardo nella richiesta di Full Disk Access, che può comparire anche dopo decine di minuti. Questa scelta rompe l’associazione temporale con l’esecuzione iniziale e rende più probabile che la vittima interpreti il prompt come una richiesta di sistema o come comportamento normale dell’app. Anche il traffico di rete viene mascherato sfruttando cache NSURL, con metadati visibili in percorsi come ~/Library/Caches/com.apple.finder.core/Cache.db ma corpi cifrati. L’insieme di bundle con nomi Apple-like, icone legittime, identificatori come com.apple.finder.core e ritardi deliberati mostra una progettazione orientata non solo al furto, ma alla persistenza silenziosa.

Difese per utenti macOS e ambienti enterprise

La mitigazione parte dalla distribuzione software. Gli utenti devono scaricare Maccy solo dal dominio ufficiale maccy.app, dal repository verificato o da canali affidabili, evitando domini quasi identici, mirror non necessari e istruzioni che richiedono l’apertura manuale di script in Editor Script. In ambito enterprise, gli amministratori dovrebbero bloccare o monitorare file .scpt scaricati da Internet, esecuzioni di osascript, uso anomalo di JavaScript for Automation, creazione di bundle in percorsi utente con nomi simili a componenti Apple, firme ad-hoc e login item registrati da applicazioni non approvate. Vanno monitorati anche accessi ripetuti a Keychain, database SQLite dei browser, pbpaste in loop, richieste verso domini sconosciuti e prompt di autorizzazione generati da app appena scaricate. Le policy MDM possono ridurre il rischio limitando Full Disk Access, controllando login item, imponendo Gatekeeper, aggiornando XProtect e privilegiando installazione tramite App Store o cataloghi aziendali. Dopo un’infezione sospetta, la bonifica deve includere cambio password, revoca sessioni, rigenerazione token, controllo wallet, verifica dei login item, analisi dei bundle fasulli e revisione dei permessi privacy. PAMStealer dimostra che macOS richiede ormai difese specifiche e comportamentali: non basta più cercare binari sospetti, occorre rilevare catene native che abusano dell’ecosistema Apple per sembrare normali.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto