La aplicación de portapapeles de macOS Maccy tiene una falsa que está robando contraseñas.
El malware PamStealer se disfraza de Maccy para atacar a los usuarios de Mac
Una versión falsa de Maccy, un popular gestor de portapapeles para macOS, se está utilizando para entregar una nueva cepa de malware para Mac llamada PamStealer. Los investigadores de Jamf dicen que el malware se hace pasar por la verdadera aplicación de código abierto, pero su verdadero propósito es robar datos y capturar la contraseña de inicio de sesión de la víctima.
PamStealer llega como una imagen de disco que contiene un archivo AppleScript que se hace pasar por Maccy. Una vez que el usuario abre ese archivo, macOS lo lanza en el Editor de Scripts, donde las instrucciones en pantalla les dicen que presionen Command-R. Para alguien que espera un instalador de aplicación normal, eso puede parecer un paso de configuración extraño. En realidad, esa acción ejecuta código de malware oculto y comienza el ataque.
El instalador falso de Maccy le dice a los usuarios que presionen Command-R o hagan clic en Ejecutar Jamf
Un instalador falso inicia el ataque
La primera parte del ataque está diseñada para permanecer en silencio. En lugar de utilizar herramientas de línea de comandos comunes de Mac que los equipos de seguridad suelen vigilar, los investigadores dicen que el malware utiliza las propias funciones de automatización de Apple para descargar y lanzar la siguiente etapa.
La carga útil luego se oculta dentro de paquetes de aplicaciones que pretenden ser componentes reales de macOS. Jamf encontró muestras que se hacían pasar por Finder o Actualización de Software. Estos componentes falsos se ejecutan en segundo plano y utilizan el ícono de Finder de Apple, lo que hace que el ataque sea más convincente.
El aviso de contraseña es el verdadero peligro
El truco más preocupante de PamStealer es su aviso de contraseña. El malware muestra un diálogo nativo de Mac que dice que Maccy quiere hacer cambios y pide al usuario que ingrese una contraseña. La contraseña se verifica a través del propio sistema de verificación de inicio de sesión de macOS. Si es incorrecta, el aviso aparece nuevamente. Una vez que se ingresa la contraseña correcta, el malware la captura y muestra un mensaje falso que dice que Maccy está dañado y no se puede abrir.
Los investigadores también encontraron que PamStealer puede observar el portapapeles, registrarse para ejecutarse nuevamente después del inicio de sesión y luego pedir Acceso Completo al Disco. En las pruebas, ese aviso a veces aparecía hasta 40 minutos después, lo que dificultaba conectar la solicitud con el instalador falso.
Los canales oficiales de Maccy ahora están advirtiendo a los usuarios sobre sitios web falsos, mientras los dirigen a maccy.app como el único lugar legítimo para obtener la aplicación.
Other articles
La aplicación de portapapeles de macOS Maccy tiene una falsa que está robando contraseñas.
Se advierte a los usuarios de Maccy sobre sitios falsos después de que los investigadores encontraran malware que utiliza el nombre de la aplicación para robar contraseñas de inicio de sesión de Mac.
