Tecnologia Un nuovo malware Mac verifica la password prima di rubarla
3' 27''
03/07/2026

PamStealer è un nuovo malware macOS che si finge Maccy, ruba credenziali e usa PAM, JXA e Rust per ridurre le tracce rilevabili.

Un nuovo malware Mac verifica la password prima di rubarla

Un nuovo malware per macOS, mai osservato prima, sta attirando l’attenzione dei ricercatori per una catena di infezione costruita con tecniche poco rumorose e codice sviluppato su misura per rubare credenziali. Il nome è PamStealer e deriva dal modo in cui il componente principale usa l’interfaccia Pluggable Authentication Modules integrata nel sistema operativo per verificare la password di login della vittima prima di inviarla a un server controllato dagli attaccanti.

La distribuzione avviene in due fasi. La prima passa da una immagine disco che si presenta come Maccy, un clipboard manager per Mac. All’interno c’è uno script compilato in AppleScript, un formato già visto in campagne contro utenti Apple, ma qui usato con una combinazione più elusiva: quando l’utente lo apre, il file viene mostrato nello Script Editor di macOS e la parte malevola resta nascosta in profondità nel contenuto.

Il passaggio operativo sfrutta un’esca precisa. L’utente, convinto di installare un’app affidabile, viene invitato a premere Command-R subito dopo il doppio clic. Quel comando esegue direttamente il codice malevolo nello script e permette di aggirare com.apple.quarantine, l’attributo con cui macOS applica avvisi e restrizioni ai file eseguibili scaricati da Internet. La catena, quindi, usa un comportamento apparentemente compatibile con il sistema per ridurre l’attrito dell’infezione.

PamStealer usa funzioni native di macOS per rendere più silenzioso il furto di password

I ricercatori di Jamf descrivono una tecnica diversa dai downloader più comuni. Invece di affidarsi a comandi shell come curl o zsh, l’AppleScript esegue un downloader autonomo basato su JavaScript for Automation, che recupera e prepara il payload usando API native Objective-C. La seconda fase è scritta in Rust, scelta meno frequente per gli infostealer macOS rispetto a Swift, Go o Objective-C, e prende la forma di un file Mach-O pensato per Mac con chip Apple.

Una volta installato, PamStealer lavora per confondersi con componenti familiari del sistema. Il primo stadio inserisce il payload in un bundle applicativo che imita elementi reali di macOS: tra gli esempi osservati ci sono Finder.app sotto identificativi come com.apple.finder.core o com.apple.finder.monitor, e Software Update.app sotto com.apple.security.daemon. Questi componenti vengono eseguiti in modalità nascosta e mostrano l’icona autentica Finder.icns, un dettaglio pensato per sostenere l’illusione di legittimità.

La falsa app Maccy trasforma una richiesta familiare in una trappola per credenziali

Il cuore dell’operazione è la cattura della password. Il malware mostra una finestra nativa che somiglia a una richiesta di autorizzazione di sistema, con il testo: “Maccy wants to make changes. Enter your password to allow this.” Quando la vittima inserisce la credenziale, PamStealer la verifica localmente tramite PAM, senza chiamare dscl, security, osascript o processi esterni. Se la verifica fallisce, la richiesta viene riproposta; quando la password è corretta, il malware mostra un messaggio di errore secondo cui il file è danneggiato e non può essere installato, così da chiudere la scena con un diversivo plausibile.

La seconda fase include altre misure per aumentare la quantità di dati sottratti e ritardare i sospetti. PamStealer può chiedere alla vittima di concedere Full Disk Access alla falsa app Maccy, ma può rimandare quella richiesta fino a quaranta minuti, separandola dal momento dell’avvio. Il traffico verso il comando e controllo è cifrato, il malware si maschera da Finder e il binario chiama l’interfaccia read di una app SQLite inclusa, così da leggere direttamente file di database. Nel codice è presente anche una logica progettata per accedere ad account ethereum.

Rust, JXA e PAM riducono le tracce osservabili dagli strumenti di difesa

La combinazione di immagine disco, Script Editor, dropper JXA autonomo, secondo stadio in Rust e validazione locale delle credenziali attraverso PAM mostra l’evoluzione degli stealer per Mac verso catene più silenziose. La superficie resta quella di funzioni standard di macOS, ma l’uso di implementazioni native e di meno processi osservabili riduce le occasioni di rilevamento tradizionale. Per imprese e utenti, il punto operativo è netto: anche su Mac, richieste di autorizzazione apparentemente familiari e app scaricate fuori dai canali abituali possono diventare il punto di ingresso di furti di credenziali costruiti con tecniche sempre più specializzate.