Resumen creado por Smart Answers AI
En resumen:
- Macworld informa que Jamf Threat Labs identificó PamStealer, un nuevo malware para macOS dirigido a los usuarios del administrador del portapapeles Maccy a través de sitios web falsos que distribuyen archivos AppleScript maliciosos.
- El sofisticado malware utiliza una cadena de ejecución silenciosa con JXA y Rust para robar contraseñas de inicio de sesión a través de módulos de autenticación conectables de macOS, lo que dificulta la detección.
- Los usuarios sólo deben descargar Maccy desde el sitio web oficial maccy.app o GitHub, evitar enlaces sospechosos y utilizar Mac App Store para realizar instalaciones de software más seguras.
Jamf Threat Labs ha publicado un informe sobre nuevo malware que los usuarios del administrador de portapapeles de terceros Maccy deben tener en cuenta. El malware, denominado “PamStealer”, se distribuye a través de sitios maliciosos que se hacen pasar por el sitio web real de Maccy, con archivos descargables que engañan a los visitantes haciéndoles creer que están obteniendo archivos Maccy legítimos.
Los archivos falsos son Maccy.scpt Archivos AppleScript, diseñados para que parezcan archivos de instalación legítimos y distribuidos en imágenes de disco. Si se inicia el script, se indica a los usuarios que lo ejecuten, lo que luego activa la carga útil que puede rastrear información en su Mac y enviarla a un agente de amenazas. El nombre PamStealer se refiere a la validación por parte del malware de la contraseña de inicio de sesión de la víctima a través de los módulos de autenticación conectables (PAM) de macOS.
Para evitar descargar archivos maliciosos, los clientes de Maccy deben asegurarse de visitar el sitio web maccy.app. Según un descargo de responsabilidad de ese sitio web, «maccy.app es el único sitio web oficial». Los clientes también pueden visitar el sitio web de Maccy GitHub en https://github.com/p0deje/Maccy, que indica que «maccy.app es el único sitio web oficial».
Maccy es un administrador de portapapeles gratuito y de código abierto que rastrea el historial del portapapeles. Apple acaba de presentar un rastreador del historial del portapapeles en macOS Tahoe a través de Spotlight, por lo que estos administradores de terceros son populares entre los usuarios avanzados. Sin embargo, como explica Jamf, el mecanismo de entrega de esta amenaza particular podría tener implicaciones de gran alcance más allá de esta aplicación en particular:
Aunque las imágenes de disco y el malware basado en AppleScript están bien establecidos en macOS, PamStealer los combina de una manera interesante. En lugar de depender de comandos de shell como
curlozshAppleScript ejecuta un descargador de JavaScript para automatización (JXA) autónomo que recupera y organiza la carga útil utilizando API nativas de Objective-C. Combinado con una segunda etapa basada en Rust y un flujo de trabajo de captura de contraseñas que valida las credenciales localmente a través de PAM, el resultado es una cadena de ejecución más silenciosa de lo que normalmente observamos en los ladrones básicos de macOS.
El informe profundiza en cómo el ataque engaña a los usuarios y concluye: «En conjunto, estos comportamientos ilustran cómo los ladrones de productos básicos de macOS continúan evolucionando, adoptando cadenas de ejecución más silenciosas e implementaciones nativas que reducen las oportunidades de detección tradicionales sin dejar de ser compatibles con las funciones estándar de macOS».
Cómo protegerse del malware
La forma más sencilla de protegerse del malware es evitar descargar software desde sitios de descarga desconocidos. Nunca abra enlaces en correos electrónicos o mensajes de texto que reciba de fuentes desconocidas e inesperadas. Si recibe un mensaje que parece provenir de una entidad con la que hace negocios, verifique la dirección de correo electrónico del remitente e inspeccione la URL cuidadosamente. Si ve un enlace o botón, puede hacer clic con la tecla Control presionada, seleccionar Copiar dirección de enlace y luego pegarlo en un editor de texto para ver la URL real y verificarlo allí.
Apple ha examinado el software en la Mac App Store y es la forma más segura de obtener aplicaciones. Si prefiere no frecuentar la Mac App Store, compre software directamente del desarrollador y de su sitio web. Si insiste en utilizar software descifrado, siempre correrá el riesgo de exponerse a malware.
Macworld tiene varias guías de ayuda, incluida una guía sobre si necesita o no software antivirus, una lista de virus, malware y troyanos de Mac, y una comparación de software de seguridad de Mac.


