PamStealer: Nuevo malware sigiloso para macOS, disfrazado de administrador del portapapeles, ataca las credenciales del usuario.

Infórmate sobre PamStealer, un nuevo malware para macOS que se hace pasar por el gestor del portapapeles Maccy para robar contraseñas y claves criptográficas. Descubre cómo funciona y cómo protegerte.

A
Staff Writer
Publicado el 03/07/2026 13:35
PamStealer: Nuevo malware sigiloso para macOS, disfrazado de administrador del portapapeles, ataca las credenciales del usuario.

El auge de los sofisticados ladrones de información de macOS

Durante años, los usuarios de Mac disfrutaron de una sensación de seguridad relativa en comparación con sus homólogos de Windows. Sin embargo, esa brecha se está cerrando rápidamente a medida que los ciberdelincuentes desarrollan herramientas más específicas y sofisticadas. La última amenaza, identificada por investigadores de seguridad de Jamf, es un malware denominado PamStealer. Este ladrón de información emplea una ingeniosa combinación de ingeniería social y herramientas nativas del sistema macOS para eludir las advertencias de seguridad y obtener información confidencial de inicio de sesión.

Cómo engaña PamStealer a los usuarios

PamStealer no llega como un virus descarado, sino como una versión falsificada de una popular y legítima aplicación de productividad llamada Maccy, un gestor de portapapeles ligero. Al suplantar una utilidad de confianza, el malware atrae a los usuarios para que lo descarguen e instalen desde un dominio fraudulento.

El proceso de infección en dos etapas

El malware utiliza una cadena de ejecución de varias etapas diseñada para pasar desapercibida para el software antivirus tradicional:

  • Primera etapa: La entrada de AppleScript: El malware llega a través de una imagen de disco. Al abrirla, se solicita a los usuarios que ejecuten un AppleScript. Mediante este método, PamStealer elude con éxito com.apple.quarantine, la función de seguridad nativa de macOS que normalmente marca y restringe los archivos ejecutables descargados de Internet.
  • Segunda etapa: La carga útil basada en Rust: Una vez que el script está activo, utiliza un descargador de JavaScript para automatización (JXA) para recuperar una carga útil de segunda etapa. Esta carga útil es un archivo Mach-O escrito en Rust, optimizado específicamente para las CPU de la serie M de Apple. El uso de Rust es particularmente notable, ya que es poco común en los ladrones de macOS comunes, lo que hace que el malware sea más difícil de reconocer para algunas herramientas de seguridad.

Robo de credenciales a través de PAM

Lo que distingue a PamStealer del malware básico es su uso de la interfaz de Módulos de autenticación conectables (PAM). En lugar de usar comandos de shell obvios como curl o zsh, que a menudo activan alertas de seguridad, PamStealer presenta una solicitud de contraseña de macOS de apariencia nativa.

La solicitud normalmente dice: “Maccy quiere hacer cambios. Introduce tu contraseña para permitirlo.” Cuando el usuario desprevenido introduce su contraseña de administrador, el malware valida las credenciales localmente a través de la API de PAM. Esto permite al atacante obtener acceso completo al disco o inyectar código malicioso para atacar activos específicos, como cuentas de criptomonedas Ethereum.

Cómo proteger tu Mac de PamStealer

Si bien macOS tiene defensas integradas como XProtect, el factor humano sigue siendo la principal vulnerabilidad. Estas son las mejores prácticas para mantener tu dispositivo seguro:

1. Verifica las fuentes del software

Asegúrate siempre de descargar software de sitios web oficiales. En el caso de Maccy, el único sitio legítimo es maccy.app. Ten cuidado con las URL de aspecto similar, como maccyapp.com, que se han utilizado para alojar el malware.

2. Prioriza la App Store

Siempre que sea posible, descarga aplicaciones directamente de la App Store de Apple. Debido a que Apple revisa las aplicaciones antes de incluirlas en su catálogo, el riesgo de instalar un programa de robo de información se reduce significativamente en comparación con la descarga de archivos .dmg aleatorios de la web.

3. Desconfía de las solicitudes de contraseña inesperadas

Si una aplicación que acabas de instalar te pide repentinamente tu contraseña de administrador para "realizar cambios" sin una razón clara, detente e investiga. El software de alta calidad suele explicar exactamente por qué se requieren permisos elevados.

4. Usa seguridad por capas

Si bien XProtect es una excelente base, considerar una solución antivirus de terceros de buena reputación puede proporcionar una capa adicional de análisis heurístico para detectar amenazas de "día cero" como PamStealer antes de que se ejecuten.

Publicaciones relacionadas