Hack Alerta

Novo malware PamStealer se disfarça de gerenciador de área de transferência Maccy no macOS

Novo infostealer PamStealer se disfarça de gerenciador Maccy no macOS, utilizando AppleScript e Rust para roubar credenciais e dados da área de transferência de forma furtiva.

O PamStealer é um infostealer recém-descoberto para macOS que se disfarça de forma convincente do popular gerenciador de área de transferência de código aberto "Maccy", enquanto coleta silenciosamente dados sensíveis do usuário e conteúdos da área de transferência. Descoberto pelo Jamf Threat Labs, o malware utiliza uma cadeia de infecção furtiva em duas etapas projetada para evadir detecções e se misturar à atividade normal do sistema operacional.

Descoberta e escopo da ameaça

A descoberta do PamStealer marca um avanço na sofisticação de ameaças direcionadas ao ecossistema Apple. O ataque inicia-se com um arquivo de imagem de disco malicioso nomeado "Maccy.dmg", que contém um arquivo AppleScript compilado (.scpt). Ao ser aberto, o arquivo exibe instruções inofensivas que instigam o usuário a pressionar "Executar", um truque de engenharia social simples que desencadeia o código malicioso oculto profundamente dentro do script.

Esta abordagem reduz a atividade visível no sistema e evita levantar suspeitas, pois utiliza APIs nativas do macOS como NSURLSession para executar o payload de JavaScript para Automação (JXA) na primeira etapa. Em vez de depender de ferramentas comuns de linha de comando como curl ou zsh, o script atua como um dropper leve, baixando um payload de segunda etapa e instalando-o no sistema, muitas vezes se passando por um componente legítimo do macOS, como o Finder ou o Software Update.

Mecanismos de infecção e evasão

O PamStealer inclui verificações conscientes do ambiente antes da execução. Ele gera uma chave única baseada em atributos do sistema, como arquitetura da CPU, localidade e fuso horário. Se o dispositivo não corresponder ao perfil esperado, o malware sai silenciosamente. Ele também evita sistemas em regiões específicas, incluindo a Rússia e países vizinhos, verificando configurações de idioma e layouts de teclado.

A segunda etapa consiste em um binário Mach-O baseado em Rust, relativamente incomum em malwares para macOS. Essa escolha de linguagem de programação oferece vantagens de desempenho e segurança, dificultando a análise estática tradicional. O infostealer realiza uma série de atividades maliciosas, incluindo roubo de credenciais, monitoramento da área de transferência e exfiltração de dados.

Capacidades de roubo de dados

Uma das características mais notáveis do PamStealer é sua técnica de colheita de senhas. O malware exibe um prompt de sistema falso pedindo ao usuário que insira sua senha. Ele valida a senha localmente usando os Módulos de Autenticação Pluggável (PAM) do macOS, garantindo que apenas credenciais corretas sejam capturadas. Esse método evita chamadas de sistema suspeitas e reduz as oportunidades de detecção.

A área de transferência é monitorada continuamente usando a utilidade nativa pbpaste. O malware coleta repetidamente o conteúdo da área de transferência em intervalos irregulares, potencialmente capturando informações sensíveis como senhas, tokens ou endereços de criptomoedas. Além disso, ele acessa bancos de dados de navegadores usando SQLite para extrair senhas armazenadas, cookies e dados de carteiras digitais.

O malware também carrega dinamicamente frameworks de segurança do macOS para acessar dados do Keychain sem expor suas capacidades durante a análise estática. Para persistência, o PamStealer registra-se como um item de login usando APIs modernas e legítimas do macOS. Ele também deixa um binário auxiliar disfarçado como "Configurações do Sistema" para reforçar os mecanismos de persistência.

Indicadores de comprometimento (IOCs)

Vários indicadores de comprometimento foram identificados, incluindo domínios suspeitos como api.sync-master[.]online e avngr.netlify[.]app. O malware se comunica com seu servidor de comando e controle (C2) em avenger-sync[.]live, enviando dados criptografados usando ChaCha20-Poly1305 dentro de solicitações JSON.

O Jamf Threat Labs observou conexões a pontos de extremidade RPC públicos do Ethereum, sugerindo que o malware pode usar infraestrutura de blockchain para um comando e controle resiliente ou recuperação de payload. Caminhos de arquivo que imitam diretórios do sistema macOS, como ~/Library/Application Support/com.apple.finder.core/, também foram observados como parte da estratégia de ofuscação.

Implicações para a segurança macOS

O PamStealer destaca a sofisticação crescente das ameaças para macOS. Ao combinar APIs nativas, payloads baseados em Rust e engenharia social avançada, os atacantes estão criando malwares mais silenciosos e eficazes, mais difíceis de detectar com métodos tradicionais. A capacidade de enganar os usuários para conceder Acesso Total ao Disco através de alertas de sistema falsos aumenta significativamente a capacidade do malware de acessar arquivos sensíveis.

Além disso, o uso de validação local de senhas via PAM demonstra uma compreensão profunda do sistema operacional, permitindo que o malware opere de forma mais discreta. A exploração de utilitários nativos como pbpaste e a integração com serviços de blockchain para C2 representam uma evolução nas táticas de grupos de cibercriminosos que visam usuários de Mac.

O que os CISOs devem fazer agora

Para mitigar os riscos associados ao PamStealer, as equipes de segurança devem adotar as seguintes medidas imediatas:

  • Monitoramento de Login Items: Verifique regularmente os itens de login registrados em todos os dispositivos macOS, buscando entradas suspeitas ou desconhecidas.
  • Análise de Rede: Implemente regras de firewall para bloquear conexões para os domínios de C2 identificados, como avenger-sync[.]live e api.sync-master[.]online.
  • Conscientização do Usuário: Eduque os usuários sobre os riscos de abrir arquivos .dmg de fontes não confiáveis e a importância de verificar a autenticidade de aplicativos baixados.
  • Atualização de Software: Mantenha o macOS e todos os aplicativos atualizados para garantir que as vulnerabilidades conhecidas sejam corrigidas.
  • EDR e Detecção: Utilize soluções de Endpoint Detection and Response (EDR) capazes de detectar comportamentos anômalos, como o uso de AppleScript para baixar payloads ou a execução de binários Mach-O não assinados.

Perguntas frequentes

Como o PamStealer se diferencia de outros infostealers?
O PamStealer se destaca pelo uso de engenharia social sofisticada, disfarçando-se de um aplicativo legítimo (Maccy) e utilizando validação local de senhas via PAM para evitar detecção.

Quais são os principais riscos para os usuários?
Os principais riscos incluem o roubo de credenciais de navegadores, acesso ao Keychain, monitoramento da área de transferência (potencialmente capturando senhas copiadas) e exfiltração de dados sensíveis.

É possível remover o malware manualmente?
A remoção manual é complexa devido aos mecanismos de persistência e ofuscação. Recomenda-se o uso de ferramentas de segurança especializadas ou o contato com especialistas em resposta a incidentes.

O PamStealer afeta apenas usuários no Brasil?
O malware não é geograficamente limitado, embora tenha verificações de região que podem evitar a execução em certas áreas, como a Rússia. Usuários de macOS em todo o mundo estão em risco.


Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.