Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime, Analisi Vulnerabilità e Intelligenza Artificiale
Logo Apple diviso da un ghiaccio che mostra una divisione visibile tra il logo aziendale e l'elemento ghiaccio.

Sembra innocuo ma ruba i dati su macOS: ecco come funziona PamStealer

9 Luglio 2026 06:28
In sintesi

Gli analisti di Jamf Threat Labs hanno scoperto un infostealer chiamato PamStealer che infetta i Mac tramite siti falsi che imitano maccy.app. Il malware verifica le password degli utenti utilizzando Pluggable Authentication Modules (PAM) e raccoglie dati sensibili, inclusi quelli dai browser e da iCloud.

Gli analisti di Jamf Threat Labs hanno scoperto un insolito infostealer denominato PamStealer per macOS. Il malware viene distribuito tramite risorse false che copiano il sito Web ufficiale del gestore degli appunti di Maccy. La vittima è costretta a eseguire da sola il dannoso AppleScript e quindi il malware verifica la password inserita tramite Pluggable Authentication Modules (PAM).

Secondo i ricercatori, gli aggressori utilizzano i domini maccyapp[.]com e maccyapp[.]net, copiando completamente il sito web ufficiale maccy.app. Da questi siti falsi, l’utente può scaricare un’immagine DMG contenente il file Maccy.scpt.

Dopo aver fatto doppio clic su questo file, si apre lo Script Editor e alla vittima viene chiesto di premere ⌘ + R o il pulsante Esegui. La logica dannosa è nascosta di seguito a causa di un grande blocco di righe vuote. Questa tecnica consente di eseguire lo script anche se il file è contrassegnato con l’attributo com.apple.quarantine.

Advertising
Massyclickfix

Invece di comandi come curl o zsh, il malware avvia un loader JXA autonomo, che riceve un secondo payload tramite l’API Objective-C standard. Secondo i ricercatori, ciò rende la catena dell’infezione meno visibile alle soluzioni di sicurezza.

In primo luogo, il malware raccoglie dati sul sistema: architettura del processore, impostazioni internazionali, layout della tastiera e fuso orario. Sulla base di questi dati, viene generata una chiave per decrittografare la configurazione con l’indirizzo del payload e il percorso di installazione. Si sottolinea che il malware funziona solo su Mac con Apple Silicon. Sui computer basati su Intel, la chiave non corrisponde, quindi la configurazione non può essere decrittografata e lo script esce.

Inoltre, l’infezione viene interrotta se il fuso orario, le impostazioni locali o il layout indicano che l’utente si trova in Russia, Bielorussia, Kazakistan, Armenia, Azerbaigian, Kirghizistan, Moldavia, Tagikistan, Uzbekistan, Turkmenistan o Georgia.

Se tutti i controlli vengono superati, il dropper scarica un binario Mach-O scritto in Rust. Si maschera da Finder, Aggiornamento software o altri componenti macOS.

Su una macchina infetta, PamStealer raccoglie dati da browser, contenuti degli appunti, informazioni da iCloud e dalle estensioni del portafoglio crittografico, nonché informazioni sugli account Ethereum. Tutte le informazioni raccolte vengono crittografate e inviate al server avenger-sync[.]live. Inoltre, il malware richiede l’accesso completo al disco e può ritardare questa azione di 40 minuti in modo che l’utente non associ la comparsa della richiesta all’avvio di Maccy.

Advertising

Ma la caratteristica principale di questo stealer è il furto della password di sistema utilizzando i Pluggable Authentication Modules (PAM), il meccanismo standard di macOS per l’autenticazione degli utenti.

Dopo l’infezione, sullo schermo del dispositivo viene visualizzata una finestra nativa con il messaggio: “Maccy vuole apportare modifiche. Inserisci la tua password per consentirlo.”

Se l’utente cade nel trucco dell’aggressore, la password inserita viene verificata localmente tramite l’API PAM. Se la password non è corretta, la richiesta verrà ripetuta finché la vittima non inserirà quella corretta.

PamStealer mostra quindi alla vittima un falso avvertimento che Maccy è danneggiato e deve essere spostato nel cestino.

A questo punto la password è già stata rubata, i dati sono stati raccolti e il malware si è insinuato nel sistema. Il messaggio funge da distrazione per indurre l’utente a pensare di aver scaricato un programma di installazione non funzionante e di aver rimosso l’esca.

Lo sviluppatore Macy Alex Rodionov ha già pubblicato un avviso sul sito web del progetto e su GitHub. Sottolinea che maccy.app è l’unico sito Web ufficiale per l’applicazione.

Sript

📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response