Segundo a Jamf Threat Labs, na quinta-feira a empresa de cibersegurança identificou uma versão falsa do gestor de clipboard Maccy que distribui um novo malware baseado em Rust, apelidado de PamStealer. A aplicação maliciosa é distribuída através de um site falsificado que contém um ficheiro AppleScript que, quando executado, recolhe as palavras-passe dos utilizadores e as chaves de carteiras de criptomoedas ao validar as credenciais de início de sessão através dos módulos de autenticação plugáveis (PAM) do macOS.
Uma vez instalado, o malware utiliza JavaScript for Automation e APIs nativas do macOS para descarregar um payload de segunda fase concebido para Macs com Apple Silicon. Pode roubar credenciais do navegador e dados do Keychain, monitorizar o conteúdo da clipboard, estabelecer persistência e solicitar Acesso Total ao Disco para alcançar ficheiros protegidos, incluindo cópias de segurança do Mail, Mensagens e Time Machine. A Jamf não detetou campanhas ativas do PamStealer até à data, mas notificou a Apple das suas conclusões.