Эксперты по кибербезопасности из Jamf Threat Labs выявили новую вредоносную программу на базе Rust, маскирующуюся под популярный менеджер буфера обмена Maccy для macOS. Злоумышленники подделали официальный сайт и распространяют заражённый образ диска с файлом Maccy.scpt, который при запуске в Apple Script Editor крадёт пароли пользователей. Уникальность PamStealer в том, что он сначала проверяет пароль жертвы через macOS PAM, а затем похищает его вместе с ключами криптокошельков.
Для загрузки основной части вредоносного кода троян применяет JavaScript и нативные API macOS, обходя стандартные инструменты вроде curl и zsh. Вторая стадия — это скомпилированный для Apple Silicon бинарь, замаскированный под Finder или Software Update. Конфигурация зашифрована с учётом данных конкретного устройства, что затрудняет обнаружение и атаку на неподходящие системы.
PamStealer может похищать данные из браузеров, Keychain, следить за содержимым буфера обмена и сохранять своё присутствие в системе. Для расширения доступа троян создаёт ложное окно Finder с запросом на полный доступ к диску — пользователи, одобряя его, рискуют получить утечку писем, сообщений и резервных копий.
Jamf также заметила, что злоумышленники всё активнее используют наработанные приёмы социальной инженерии в рекламе на платформах вроде X, где через спонсорские объявления продвигаются вредоносные установки. Пока нет данных о масштабных заражениях PamStealer, но Apple уже уведомлена, а специалисты следят за развитием ситуации.
Подобные атаки демонстрируют рост сложности вредоносных кампаний и их способность маскироваться под легитимные приложения, что создаёт новые вызовы для безопасности пользователей macOS и разработчиков ПО.
