De acordo com a Jamf Threat Labs, na quinta-feira a empresa de segurança cibernética identificou uma versão falsa do gerenciador de área de transferência Maccy que distribui um novo malware baseado em Rust, chamado de PamStealer. O aplicativo malicioso é distribuído por meio de um site falso que contém um arquivo AppleScript que, quando executado, coleta senhas dos usuários e chaves de carteiras de criptomoedas ao validar credenciais de login através dos módulos de autenticação conectáveis do macOS (PAM).
Uma vez instalado, o malware utiliza JavaScript para Automação e APIs nativas do macOS para baixar um payload de segundo estágio projetado para Macs com Apple Silicon. Ele pode roubar credenciais de navegadores e dados do Keychain, monitorar o conteúdo da área de transferência, estabelecer persistência e solicitar Acesso Total ao Disco para alcançar arquivos protegidos, incluindo e-mails, Mensagens e backups do Time Machine. A Jamf não detectou campanhas ativas do PamStealer até o momento, mas notificou a Apple sobre suas descobertas.