PamStealer: i nuovi infostealer per macOS preoccupano gli esperti

PamStealer è un nuovo malware per macOS che verifica le password tramite PAM e utilizza tecniche stealth per sottrarre dati.

I ricercatori di Jamf Threat Labs hanno individuato una nuova e temibile famiglia di malware per macOS, ribattezzata PamStealer, che dimostra quanto gli infostealer rivolti ai computer Apple stiano diventando più sofisticati.

La minaccia non si limita a sottrarre password e dati sensibili: utilizza una catena di infezione pensata per ridurre al minimo gli indicatori che normalmente permettono agli strumenti di sicurezza di rilevare attività sospette. Il codice malevolo si integra con diversi componenti nativi del sistema operativo, sfruttando funzioni legittime invece di ricorrere a tecniche facilmente individuabili, come confermano diverse analisi pubblicate negli scorsi giorni da testate specializzate.

Un finto installer che imita Maccy

L’infezione parte da un sito contraffatto che riproduce quello di Maccy, il popolare gestore open source degli appunti per macOS.

Chi scarica il file crede di installare l’app originale, ma in realtà apre uno script AppleScript compilato: il codice dannoso resta nascosto tra righe apparentemente innocue, mentre l’utente viene invitato a premere Command-R per eseguirlo. Questo passaggio consente di aggirare alcuni controlli legati alla quarantena che macOS applica ai file scaricati da Internet.

A quel punto entra in azione un downloader scritto in JavaScript for Automation, che richiama direttamente le API Objective-C native invece di affidarsi a comandi come curl o zsh, riducendo così i processi visibili agli strumenti di monitoraggio. Il payload finale, sviluppato in Rust, si maschera da componente di sistema, ad esempio Finder, per rendere più complicato il riconoscimento manuale da parte degli utenti più attenti.

Come PamStealer verifica le password

L’elemento che distingue davvero PamStealer è l’uso dell’interfaccia PAM, Pluggable Authentication Modules, il sistema con cui macOS gestisce l’autenticazione.

Quando compare una finestra che imita una normale richiesta di autorizzazione, il malware non si limita a salvare la password digitata: la verifica subito tramite il meccanismo di autenticazione del sistema operativo, richiedendola di nuovo se risulta errata. In questo modo gli attaccanti ottengono soltanto credenziali già funzionanti, senza lasciare tracce di comandi come dscl o security.

Il malware raccoglie inoltre cookie dei browser, cronologia di navigazione, dati dei wallet di criptovalute e database locali, spesso ritardando la richiesta di Full Disk Access di decine di minuti per non farla coincidere con l’apertura del file infetto.

Come proteggersi da questo malware

Jamf consiglia di scaricare le applicazioni solo dai siti ufficiali degli sviluppatori o dal Mac App Store, evitando risultati sponsorizzati e domini con nomi simili a quelli originali.

È utile diffidare di richieste di password inattese e valutare con attenzione ogni permesso di Full Disk Access. Per chi amministra flotte aziendali, monitorare l’esecuzione di script AppleScript e JXA resta oggi una delle difese più efficaci contro campagne pensate per confondersi con le normali attività del sistema.

Ti consigliamo anche

Link copiato negli appunti