Laut Jamf Threat Labs hat das Cybersicherheitsunternehmen am Donnerstag eine gefälschte Version des Maccy-Zwischenablage-Managers identifiziert, die eine neue Rust-basierte Malware namens PamStealer ausliefert. Die schädliche App wird über eine nachgebaute Website verbreitet, die eine AppleScript-Datei enthält. Wenn diese ausgeführt wird, sammelt sie Passwörter und Krypto-Wallet-Schlüssel der Nutzer, indem sie die Anmeldeinformationen über die macOS Pluggable Authentication Modules (PAM) validiert.
Nach der Installation nutzt die Malware JavaScript for Automation und native macOS-APIs, um eine zweite Stufe herunterzuladen, die für Apple-Silicon-Macs konzipiert ist. Sie kann Browser-Anmeldedaten und Keychain-Daten stehlen, den Inhalt der Zwischenablage überwachen, Persistenz einrichten und vollen Zugriff auf die Festplatte anfordern, um geschützte Dateien wie Mail, Nachrichten und Time-Machine-Backups zu erreichen. Jamf hat bisher keine aktiven PamStealer-Kampagnen entdeckt, aber Apple über seine Erkenntnisse informiert.