PamStealer: Novo malware furtivo para macOS disfarçado de gerenciador de área de transferência visa as credenciais do usuário.
Saiba mais sobre o PamStealer, um novo malware para macOS que se disfarça de gerenciador de área de transferência Maccy para roubar senhas e chaves criptográficas. Descubra como ele funciona e como se proteger.

A Ascensão de Sofisticados Ladrões de Informações do macOS
Por anos, os usuários de Mac desfrutaram de uma sensação de relativa segurança em comparação com seus colegas do Windows. No entanto, essa diferença está diminuindo rapidamente à medida que os cibercriminosos desenvolvem ferramentas mais direcionadas e sofisticadas. A ameaça mais recente, identificada por pesquisadores de segurança da Jamf, é um malware chamado PamStealer. Este ladrão de informações emprega uma combinação inteligente de engenharia social e ferramentas nativas do sistema macOS para burlar avisos de segurança e coletar informações confidenciais de login.
Como o PamStealer Engana os Usuários
O PamStealer não chega como um vírus explícito, mas sim como uma versão falsificada de um aplicativo de produtividade popular e legítimo chamado Maccy — um gerenciador de área de transferência leve. Ao se passar por um utilitário confiável, o malware induz os usuários a baixá-lo e instalá-lo a partir de um domínio fraudulento.
O Processo de Infecção em Dois Estágios
O malware utiliza uma cadeia de execução em múltiplos estágios, projetada para permanecer fora do radar dos softwares antivírus tradicionais:
- Estágio Um: A Entrada do AppleScript: O malware chega por meio de uma imagem de disco. Ao abri-la, os usuários são solicitados a executar um AppleScript. Usando esse método, o PamStealer burla com sucesso o
com.apple.quarantine, o recurso de segurança nativo do macOS que normalmente sinaliza e restringe arquivos executáveis baixados da internet. - Estágio Dois: A Carga Útil Baseada em Rust: Uma vez que o script esteja ativo, ele utiliza um downloader JavaScript for Automation (JXA) para recuperar uma carga útil de segundo estágio. Essa carga útil é um arquivo Mach-O escrito em Rust, especificamente otimizado para CPUs da série M da Apple. O uso de Rust é particularmente notável, pois é incomum para ladrões de credenciais comuns do macOS, tornando o malware mais difícil de ser reconhecido por algumas ferramentas de segurança.
Roubo de Credenciais via PAM
O que diferencia o PamStealer de malwares básicos é o uso da interface Módulos de Autenticação Conectáveis (PAM). Em vez de usar comandos óbvios do shell, como curl ou zsh, que geralmente disparam alertas de segurança, o PamStealer apresenta uma solicitação de senha nativa do macOS.
A solicitação geralmente diz: “O macOS deseja fazer alterações. Digite sua senha para permitir isso.” Quando o usuário desavisado digita sua senha de administrador, o malware valida as credenciais localmente por meio da API PAM. Isso permite que o invasor obtenha acesso total ao disco ou injete código malicioso para atingir ativos específicos, como contas de criptomoedas Ethereum.
Como proteger seu Mac do PamStealer
Embora o macOS tenha defesas integradas como o XProtect, o fator humano continua sendo a principal vulnerabilidade. Aqui estão as melhores práticas para manter seu dispositivo seguro:
1. Verifique as fontes do software
Sempre certifique-se de baixar softwares de sites oficiais. No caso do Maccy, o único site legítimo é maccy.app. Desconfie de URLs semelhantes, como maccyapp.com, que foram usados para hospedar o malware.
2. Priorize a App Store
Sempre que possível, baixe aplicativos diretamente da App Store da Apple. Como a Apple verifica os aplicativos antes de disponibilizá-los, o risco de instalar um programa que rouba informações é significativamente menor em comparação com o download de arquivos .dmg aleatórios da internet.
3. Desconfie de solicitações inesperadas de senha
Se um aplicativo que você acabou de instalar solicitar repentinamente sua senha de administrador para "fazer alterações" sem um motivo claro, pare e investigue. Softwares de alta qualidade geralmente explicam exatamente por que permissões elevadas são necessárias.
4. Use segurança em camadas
Embora o XProtect seja uma ótima base, considerar uma solução antivírus de terceiros confiável pode fornecer uma camada extra de análise heurística para detectar ameaças de "dia zero" como o PamStealer antes que elas sejam executadas.