PamStealer: Malware macOS Baru yang Tersembunyi dan Menyamar sebagai Pengelola Clipboard Menargetkan Kredensial Pengguna
Pelajari tentang PamStealer, malware macOS baru yang menyamar sebagai pengelola clipboard Maccy untuk mencuri kata sandi dan kunci kriptografi. Temukan cara kerjanya dan cara untuk tetap aman.

Munculnya Pencuri Informasi macOS yang Canggih
Selama bertahun-tahun, pengguna Mac menikmati rasa aman yang relatif lebih besar dibandingkan dengan pengguna Windows. Namun, kesenjangan itu semakin menyempit dengan cepat seiring dengan berkembangnya alat-alat yang lebih canggih dan terarah oleh para penjahat siber. Ancaman terbaru, yang diidentifikasi oleh para peneliti keamanan di Jamf, adalah sebuah malware yang disebut PamStealer. Pencuri informasi ini menggunakan kombinasi cerdas antara rekayasa sosial dan alat sistem macOS asli untuk melewati peringatan keamanan dan mengumpulkan informasi login yang sensitif.
Bagaimana PamStealer Menipu Pengguna
PamStealer tidak muncul sebagai virus yang terang-terangan, melainkan sebagai versi palsu dari aplikasi produktivitas populer dan sah yang disebut Maccy—sebuah pengelola clipboard yang ringan.
Dengan menyamar sebagai utilitas tepercaya, malware ini memancing pengguna untuk mengunduh dan menginstalnya dari domain palsu.Proses Infeksi Dua Tahap
Malware ini menggunakan rantai eksekusi multi-tahap yang dirancang untuk tetap berada di bawah radar perangkat lunak antivirus tradisional:
- Tahap Satu: Entri AppleScript: Malware tiba melalui image disk. Setelah dibuka, pengguna diminta untuk menjalankan AppleScript. Dengan menggunakan metode ini, PamStealer berhasil melewati
com.apple.quarantine, fitur keamanan macOS asli yang biasanya menandai dan membatasi file yang dapat dieksekusi yang diunduh dari internet. - Tahap Dua: Muatan Berbasis Rust: Setelah skrip aktif, ia menggunakan pengunduh JavaScript for Automation (JXA) untuk mengambil muatan tahap kedua. Muatan ini adalah file Mach-O yang ditulis dalam Rust, yang secara khusus dioptimalkan untuk CPU seri Apple M. Penggunaan Rust sangat penting karena tidak umum digunakan oleh pencuri macOS komersial, sehingga membuat malware ini lebih sulit dikenali oleh beberapa alat keamanan.
Pencurian Kredensial melalui PAM
Yang membedakan PamStealer dari malware biasa adalah penggunaan antarmuka Pluggable Authentication Modules (PAM). Alih-alih menggunakan perintah shell yang jelas seperti curl atau zsh, yang sering memicu peringatan keamanan, PamStealer menampilkan permintaan kata sandi macOS yang tampak asli.
Permintaan tersebut biasanya berbunyi: “Maccy ingin melakukan perubahan. Masukkan kata sandi Anda untuk mengizinkan ini.” Ketika pengguna yang tidak curiga memasukkan kata sandi admin mereka, malware memvalidasi kredensial secara lokal melalui API PAM.
Hal ini memungkinkan penyerang untuk mendapatkan akses penuh ke disk atau menyuntikkan kode berbahaya untuk menargetkan aset tertentu, seperti akun mata uang kripto Ethereum.Cara Melindungi Mac Anda dari PamStealer
Meskipun macOS memiliki pertahanan bawaan seperti XProtect, unsur manusia tetap menjadi kerentanan utama. Berikut adalah praktik terbaik untuk menjaga keamanan perangkat Anda:
1. Verifikasi Sumber Perangkat Lunak
Selalu pastikan Anda mengunduh perangkat lunak dari situs web resmi. Dalam kasus Maccy, satu-satunya situs yang sah adalah maccy.app. Waspadai URL yang terlihat mirip, seperti maccyapp.com, yang telah digunakan untuk menampung malware.
2. Prioritaskan App Store
Sebisa mungkin, unduh aplikasi langsung dari Apple App Store.
Karena Apple memeriksa aplikasi sebelum terdaftar, risiko menginstal infostealer jauh lebih rendah dibandingkan mengunduh file .dmg acak dari web.3. Waspadai Permintaan Kata Sandi yang Tidak Terduga
Jika aplikasi yang baru saja Anda instal tiba-tiba meminta kata sandi administrator Anda untuk "melakukan perubahan" tanpa alasan yang jelas, hentikan dan selidiki. Perangkat lunak berkualitas tinggi biasanya menjelaskan dengan tepat mengapa izin yang lebih tinggi diperlukan.
4. Gunakan Keamanan Berlapis
Meskipun XProtect adalah dasar yang bagus, mempertimbangkan solusi antivirus pihak ketiga yang bereputasi dapat memberikan lapisan analisis heuristik tambahan untuk menangkap ancaman "zero-day" seperti PamStealer sebelum dieksekusi.