PamStealer: Nový nenápadný malware pro macOS maskovaný jako Správce schránky cílí na uživatelské přihlašovací údaje

Zjistěte více o PamStealer, novém malwaru pro macOS, který se vydává za správce schránky Maccy a krade hesla a krypto klíče. Zjistěte, jak funguje a jak zůstat v bezpečí.

A
Staff Writer
Zveřejněno dne 03/07/2026 13:35
PamStealer: Nový nenápadný malware pro macOS maskovaný jako Správce schránky cílí na uživatelské přihlašovací údaje

Vzestup sofistikovaných kryptoměn pro macOS

Uživatelé Maců si po léta užívali pocitu relativního bezpečí ve srovnání s jejich protějšky ve Windows. Tato mezera se však rychle zmenšuje, protože kyberzločinci vyvíjejí cílenější a sofistikovanější nástroje. Nejnovější hrozbou, kterou identifikovali bezpečnostní výzkumníci z Jamf, je malware s názvem PamStealer. Tento kryptoměnový kryptoměn využívá chytrou kombinaci sociálního inženýrství a nativních systémových nástrojů macOS k obcházení bezpečnostních varování a získávání citlivých přihlašovacích údajů.

Jak PamStealer klame uživatele

PamStealer se neobjevuje jako okázalý virus, ale spíše jako padělaná verze populární, legitimní aplikace pro produktivitu s názvem Maccy – lehkého správce schránky. Tím, že se malware vydává za důvěryhodný nástroj, láká uživatele ke stažení a instalaci z podvodné domény.

Dvoustupňový proces infekce

Malware využívá vícestupňový řetězec spouštění, který je navržen tak, aby zůstal mimo radaru tradičního antivirového softwaru:

  • První fáze: Vstup AppleScript: Malware se dostává prostřednictvím obrazu disku. Po otevření jsou uživatelé vyzváni ke spuštění AppleScript. Pomocí této metody PamStealer úspěšně obchází com.apple.quarantine, nativní bezpečnostní funkci macOS, která obvykle označuje a omezuje spustitelné soubory stahované z internetu.
  • Druhá fáze: Údaj založený na Rustu: Jakmile je skript aktivní, použije downloader JavaScript for Automation (JXA) k načtení údaje druhé fáze. Toto údaje je soubor Mach-O napsaný v Rustu, speciálně optimalizovaný pro procesory Apple řady M. Použití Rustu je obzvláště pozoruhodné, protože je pro komoditní krádeže macOS neobvyklé, což ztěžuje rozpoznání malwaru některými bezpečnostními nástroji.

Krádež přihlašovacích údajů prostřednictvím PAM

Co odlišuje PamStealer od základního malwaru, je použití rozhraní Pluggable Authentication Modules (PAM). Namísto použití zřejmých příkazů shellu, jako je curl nebo zsh, které často spouštějí bezpečnostní upozornění, PamStealer zobrazuje nativní výzvu k zadání hesla macOS.

Výzva obvykle zní: „Maccy chce provést změny. Zadejte své heslo, abyste to povolili.“ Když nic netušící uživatel zadá své heslo správce, malware ověří přihlašovací údaje lokálně prostřednictvím rozhraní PAM API. To útočníkovi umožňuje buď získat plný přístup k disku, nebo vložit škodlivý kód, který cílí na konkrétní aktiva, jako jsou účty kryptoměny Ethereum.

Jak chránit svůj Mac před PamStealerem

Ačkoli má macOS vestavěnou ochranu, jako je XProtect, lidský faktor zůstává primární zranitelností. Zde jsou osvědčené postupy pro zabezpečení vašeho zařízení:

1. Ověřte zdroje softwaru

Vždy se ujistěte, že stahujete software z oficiálních webových stránek. V případě Maccy je jediným legitimním webem maccy.app. Dávejte si pozor na podobně vypadající URL adresy, jako je maccyapp.com, které byly použity k hostování malwaru.

2. Upřednostněte App Store

Kdykoli je to možné, stahujte aplikace přímo z Apple App Storu. Protože Apple aplikace před jejich uvedením na seznamu prověřuje, je riziko instalace infostealeru výrazně sníženo ve srovnání se stahováním náhodných souborů .dmg z webu.

3. Buďte skeptičtí k neočekávaným výzvám k zadání hesla

Pokud aplikace, kterou jste právě nainstalovali, náhle bez jasného důvodu požaduje heslo správce pro „provedení změn“, zastavte ji a prozkoumejte ji. Kvalitní software obvykle přesně vysvětluje, proč jsou vyžadována zvýšená oprávnění.

4. Používejte vrstvené zabezpečení

I když je XProtect skvělým základem, zvážení renomovaného antivirového řešení třetí strany může poskytnout další vrstvu heuristické analýzy k zachycení „nultých“ hrozeb, jako je PamStealer, ještě před jejich spuštěním.

Související příspěvky