Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

El avance de la radiación de Hawking proporciona información sobre los agujeros negros

PamStealer utiliza sitios Maccy falsos y comprobaciones PAM para robar contraseñas de inicio de sesión de Mac

La Universidad de Melbourne desarrolla un diseño resistente a los incendios forestales para proteger la infraestructura crítica

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»PamStealer utiliza sitios Maccy falsos y comprobaciones PAM para robar contraseñas de inicio de sesión de Mac
Identidad

PamStealer utiliza sitios Maccy falsos y comprobaciones PAM para robar contraseñas de inicio de sesión de Mac

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 3, 2026No hay comentarios5 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Los investigadores de ciberseguridad han emitido una advertencia sobre un nuevo ladrón de información de macOS llamado PamStealer que utiliza una serie de técnicas sofisticadas para infectar sistemas y desviar datos confidenciales.

Descubierto por Jamf Threat Labs, este ladrón se hace pasar por Maccy, un administrador de portapapeles legítimo de código abierto, y se distribuye como un archivo compilado AppleScript (.scpt). Tiene el nombre en código PamStealer debido a su capacidad para verificar las contraseñas de inicio de sesión de las víctimas a través de los módulos de autenticación conectables (PAM) de macOS antes de capturarlas.

Este malware se entrega en dos etapas. El AppleScript compilado se distribuye dentro de una imagen de disco diseñada para descargar y organizar cargas útiles posteriores. El segundo artefacto es un ladrón de información basado en Rust que puede robar credenciales, recopilar, conservar y filtrar datos del navegador.

El vector de acceso inicial del malware es un sitio similar («maccyapp(.)com») que imita a Maccy («maccy(.)app»). Un AppleScript («Maccy.scpt») presente dentro de la imagen del disco ejecuta un descargador de JavaScript para automatización (JXA) autónomo que utiliza API nativas de Objective-C para recuperar y preparar la carga útil del ladrón.

Lo que es interesante tener en cuenta aquí es que cuando el script se inicia a través del editor de scripts, le solicita que lo ejecute usando el método abreviado de teclado «⌘ + R» o haciendo clic en el botón (Ejecutar) del editor de scripts, que ejecuta la lógica maliciosa oculta debajo de grandes bloques de líneas vacías dentro del archivo.

«En particular, esto funciona incluso si el archivo contiene el atributo com.apple.quarantine, que es lo que hace que este enfoque sea atractivo para los atacantes mientras Apple continúa reforzando sus guardianes y terminales», dijo el investigador de seguridad Thijs Xhaflaire. «La combinación de una segunda etapa basada en Rust y un flujo de trabajo de captura de contraseñas que valida las credenciales localmente a través de PAM da como resultado una cadena de ejecución más silenciosa que la que normalmente se observa en los ladrones típicos de macOS».

El cuentagotas AppleScript incluye conciencia ambiental que le permite tomar huellas digitales del host y continuar la ejecución solo si determina que el host se está ejecutando en Apple Silicon. Esto se hace derivando una clave basada en una huella digital que contiene detalles como la arquitectura de la CPU, la configuración regional, la distribución del teclado, la zona horaria, etc., y usándola para desbloquear la configuración cifrada, incluida la URL de carga útil y la ruta de instalación.

En las Mac basadas en Intel, la clave de descifrado derivada es diferente, por lo que la descodificación de la configuración falla y el cuentagotas se cierra. Este script también evita la ejecución dentro de un entorno de pruebas o de análisis. También evita ejecutarse en sistemas donde las zonas horarias, las configuraciones regionales del sistema y las entradas del teclado se resuelven en países ubicados en Europa del este, como Rusia, Bielorrusia, Kazajstán, Armenia, Azerbaiyán, Kirguistán, Moldavia, Tayikistán, Uzbekistán, Turkmenistán y Georgia.

Si la verificación pasa, el script se conecta a un servidor externo y descarga un binario Mach-O escrito en Rust. Este binario se hace pasar por una aplicación Finder y recopila datos de su navegador web, extensiones de billetera criptográfica, llavero de iCloud y contenido del portapapeles. La información obtenida se cifra y se filtra a la infraestructura controlada por el atacante (‘avenger-sync(.)live’) a través de solicitudes HTTP salientes.

Además de obligar al usuario a otorgar acceso completo al sistema de archivos, el ladrón proporciona una solicitud de contraseña nativa para recopilar la contraseña del sistema de la víctima y verifica y valida la contraseña ingresada a través de la API PAM. Si la validación falla, solicite al usuario que vuelva a ingresar la contraseña y repita el ciclo hasta que ingrese la contraseña correcta.

«Una vez que se captura una contraseña válida, el ladrón muestra una segunda alerta falsificada que es una copia cercana del mensaje real de Gatekeeper, que dice: ‘Maccy está corrupta y no se puede abrir. Deberías tirarla a la papelera'», dijo Jamf. «Esto es un señuelo. Para cuando aparece, la carga útil ya se ejecutó, capturó la contraseña y se registró para persistencia. Así que este mensaje sólo sirve para que la víctima descarte el señuelo y les haga pensar que la descarga está corrupta».

Los binarios de Rust también incluyen un pequeño arm64 Mach-O que se utiliza para disfrazar la configuración del sistema macOS y configurar la persistencia.

En respuesta a este desarrollo, el desarrollador de Maccy, Alex Rodionov, publicó una advertencia en el sitio web de la compañía y en el repositorio GitHub: «Cuidado con los sitios web falsos que se hacen pasar por Maccy. Los sitios maliciosos (como maccyapp(.)net y maccyapp(.)com) distribuyen malware haciéndose pasar por Maccy. El único sitio web oficial es maccy.app.»

«En conjunto, estos comportamientos demuestran cómo los ladrones de productos básicos de macOS continúan evolucionando, adoptando cadenas de ejecución más silenciosas e implementaciones nativas que reducen las oportunidades de detección tradicionales sin dejar de ser compatibles con las funciones estándar de macOS», dijo Jamf.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleLa Universidad de Melbourne desarrolla un diseño resistente a los incendios forestales para proteger la infraestructura crítica
Next Article El avance de la radiación de Hawking proporciona información sobre los agujeros negros
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Google interrumpe la red de proxy residencial NetNut en 2 millones de dispositivos domésticos

julio 2, 2026

Los grupos de ransomware se centran en Citrix Bleed 2, BYOVD y las credenciales de la cadena de suministro

julio 2, 2026

AI Compute Hijacking, Apple Email Flaw, BlueHammer Ransomware + 14 Stories

julio 2, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

El avance de la radiación de Hawking proporciona información sobre los agujeros negros

PamStealer utiliza sitios Maccy falsos y comprobaciones PAM para robar contraseñas de inicio de sesión de Mac

La Universidad de Melbourne desarrolla un diseño resistente a los incendios forestales para proteger la infraestructura crítica

La oferta pública inicial de Jersey Mike muestra lo mal que se ha vuelto el revuelo por la IA

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.