PamStealer: un nuovo malware furtivo per macOS, camuffato da gestore degli appunti, prende di mira le credenziali degli utenti.

Scopri di più su PamStealer, un nuovo malware per macOS che si spaccia per il gestore degli appunti di Maccy per rubare password e chiavi crittografiche. Scopri come funziona e come proteggerti.

A
Staff Writer
Pubblicato il 03/07/2026 13:35
PamStealer: un nuovo malware furtivo per macOS, camuffato da gestore degli appunti, prende di mira le credenziali degli utenti.

L'ascesa dei sofisticati furti di informazioni su macOS

Per anni, gli utenti Mac hanno goduto di un senso di relativa sicurezza rispetto alle loro controparti Windows. Tuttavia, questo divario si sta riducendo rapidamente man mano che i criminali informatici sviluppano strumenti più mirati e sofisticati. L'ultima minaccia, identificata dai ricercatori di sicurezza di Jamf, è un malware chiamato PamStealer. Questo furto di informazioni utilizza un'astuta combinazione di ingegneria sociale e strumenti di sistema nativi di macOS per aggirare gli avvisi di sicurezza e raccogliere informazioni di accesso sensibili.

Come PamStealer inganna gli utenti

PamStealer non si presenta come un virus palese, ma piuttosto come una versione contraffatta di una popolare e legittima app di produttività chiamata Maccy, un gestore di appunti leggero. Impersonando un'utilità fidata, il malware induce gli utenti a scaricarlo e installarlo da un dominio fraudolento.

Il processo di infezione in due fasi

Il malware utilizza una catena di esecuzione a più fasi progettata per rimanere al di fuori del radar dei tradizionali software antivirus:

  • Fase uno: l'ingresso AppleScript: il malware arriva tramite un'immagine disco. All'apertura, agli utenti viene richiesto di eseguire un AppleScript. Utilizzando questo metodo, PamStealer aggira con successo com.apple.quarantine, la funzionalità di sicurezza nativa di macOS che in genere segnala e limita i file eseguibili scaricati da Internet.
  • Fase due: il payload basato su Rust: una volta che lo script è attivo, utilizza un downloader JavaScript for Automation (JXA) per recuperare un payload di seconda fase. Questo payload è un file Mach-O scritto in Rust, specificamente ottimizzato per le CPU Apple serie M. L'uso di Rust è particolarmente degno di nota in quanto è insolito per i malware comuni che rubano le credenziali di macOS, rendendo il malware più difficile da riconoscere per alcuni strumenti di sicurezza.

Furto delle credenziali tramite PAM

Ciò che distingue PamStealer dai malware di base è l'uso dell'interfaccia Pluggable Authentication Modules (PAM). Invece di utilizzare comandi shell ovvi come curl o zsh, che spesso attivano avvisi di sicurezza, PamStealer presenta una richiesta di password dall'aspetto nativo di macOS.

La richiesta in genere recita: “Maccy vuole apportare modifiche. Inserisci la tua password per consentirlo.” Quando l'utente ignaro inserisce la password di amministratore, il malware convalida le credenziali localmente tramite l'API PAM. Ciò consente all'attaccante di ottenere l'accesso completo al disco o di iniettare codice dannoso per colpire risorse specifiche, come gli account di criptovaluta Ethereum.

Come proteggere il tuo Mac da PamStealer

Sebbene macOS disponga di difese integrate come XProtect, l'elemento umano rimane la principale vulnerabilità. Ecco le migliori pratiche per mantenere il tuo dispositivo al sicuro:

1. Verifica le fonti del software

Assicurati sempre di scaricare software da siti Web ufficiali. Nel caso di Maccy, l'unico sito legittimo è maccy.app. Fai attenzione agli URL dall'aspetto simile, come maccyapp.com, che sono stati utilizzati per ospitare il malware.

2. Dai la priorità all'App Store

Quando possibile, scarica le applicazioni direttamente dall'Apple App Store. Poiché Apple verifica le app prima di pubblicarle, il rischio di installare un infostealer è significativamente ridotto rispetto al download di file .dmg casuali dal web.

3. Sii scettico riguardo alle richieste di password inaspettate

Se un'applicazione appena installata ti chiede improvvisamente la password di amministratore per "apportare modifiche" senza un motivo chiaro, fermati e indaga. Il software di alta qualità di solito spiega esattamente perché sono necessari permessi elevati.

4. Utilizza una sicurezza a più livelli

Sebbene XProtect sia un'ottima base di partenza, considerare una soluzione antivirus di terze parti affidabile può fornire un ulteriore livello di analisi euristica per rilevare minacce "zero-day" come PamStealer prima che vengano eseguite.

Post correlati