Según Jamf Threat Labs, el jueves la firma de ciberseguridad identificó una versión falsa del administrador de portapapeles Maccy que distribuye un nuevo malware basado en Rust denominado PamStealer. La aplicación maliciosa se distribuye a través de un sitio web similar que contiene un archivo AppleScript que, al ejecutarse, extrae las contraseñas de los usuarios y las claves de billeteras de criptomonedas validando las credenciales de inicio de sesión mediante los Módulos de Autenticación Conectables (PAM) de macOS.
Una vez instalado, el malware utiliza JavaScript para Automatización y las API nativas de macOS para descargar una carga útil de segunda etapa diseñada para Macs con Apple Silicon. Puede robar credenciales del navegador y datos del Llavero, monitorear el contenido del portapapeles, establecer persistencia y solicitar Acceso Completo al Disco para llegar a archivos protegidos como Mail, Mensajes y copias de seguridad de Time Machine. Jamf no ha detectado campañas activas de PamStealer hasta la fecha, pero notificó a Apple de sus hallazgos.