Durante años existió la creencia de que macOS era un objetivo poco atractivo para los ciberdelincuentes, pero esa realidad está cambiando rápidamente. Investigadores de Jamf Threat Labs han descubierto PamStealer, un sofisticado malware diseñado específicamente para equipos Apple que destaca por una característica poco común: comprueba que la contraseña robada sea correcta antes de enviarla a los atacantes.
A diferencia de los infostealers tradicionales, PamStealer se distribuye haciéndose pasar por Maccy, un popular gestor de portapapeles para macOS. La víctima descarga un archivo aparentemente legítimo que inicia una cadena de infección en dos etapas, utilizando AppleScript y un segundo componente desarrollado en Rust, una combinación poco habitual en amenazas para macOS.
Lo que realmente preocupa a los expertos es que el malware utiliza la interfaz PAM (Pluggable Authentication Modules) de macOS para validar localmente la contraseña introducida por el usuario. Esto significa que solo envía credenciales correctas al servidor del atacante, reduciendo el ruido y dificultando la detección por parte de las soluciones de seguridad.
Además, PamStealer intenta permanecer oculto durante el mayor tiempo posible. Se disfraza como procesos legítimos del sistema, cifra las comunicaciones con su servidor de comando y control y retrasa algunas solicitudes de permisos, como el acceso completo al disco, para evitar levantar sospechas inmediatamente después de la instalación.
Los investigadores también detectaron que el malware puede acceder a información sensible almacenada en el equipo, incluyendo credenciales, bases de datos locales y, en algunos casos, datos relacionados con billeteras de criptomonedas.
¿Cómo protegerse?
- Descarga aplicaciones únicamente desde sus sitios oficiales o la Mac App Store.
- Desconfía de páginas con dominios similares a los originales.
- Mantén macOS y las herramientas de seguridad siempre actualizadas.
- No ejecutes archivos o scripts que soliciten acciones inusuales, especialmente si aparecen desde el Editor de Scripts o piden permisos inesperados.
PamStealer demuestra que el ecosistema de Apple también está evolucionando como objetivo para los ciberdelincuentes. Las nuevas campañas ya no dependen únicamente de explotar vulnerabilidades, sino que combinan ingeniería social, sigilo y técnicas avanzadas para aumentar sus probabilidades de éxito.