Aplicación falsa sortea hábilmente los controles al usar únicamente funciones del sistema.

El malware para macOS utiliza cada vez más los mecanismos integrados del sistema, y el nuevo extractor de credenciales PamStealer disfraza el robo de contraseñas como la instalación del gestor del portapapeles Maccy.
El malware se distribuye en una imagen de disco y funciona en dos fases. En su interior hay un archivo AppleScript, que al hacer doble clic se abre en el Editor de scripts de macOS. Se indica al usuario que presione inmediatamente Command-R, supuestamente para iniciar la instalación. La combinación ejecuta código oculto directamente en el editor, incluso si el archivo conserva el atributo com.apple.quarantine, con el que macOS marca las descargas desde Internet.
El primer módulo inicia un cargador integrado escrito en JavaScript for Automation. El cargador no recurre a comandos del sistema notorios como curl o zsh, sino que obtiene el segundo módulo a través de las interfaces integradas de macOS. Este enfoque deja menos procesos separados por los que las herramientas de seguridad podrían detectar la infección.
El segundo módulo está escrito en Rust y está destinado a equipos con procesadores Apple. El extractor se oculta dentro de una aplicación falsa que se hace pasar por Finder o Software Update, utiliza el icono del sistema y se ejecuta en segundo plano. Para leer bases de datos locales, el malware utiliza la biblioteca SQLite incluida en él.
Luego PamStealer muestra una ventana parecida a una solicitud de permisos del sistema y pide la contraseña de la cuenta. El malware verifica los datos introducidos mediante el mecanismo PAM directamente en el dispositivo. En caso de error, la solicitud vuelve a aparecer, y tras la contraseña correcta el programa indica que la aplicación está dañada. Ese mensaje debería convencer a la víctima de que la instalación simplemente falló.
PamStealer también solicita acceso completo al disco para recopilar más datos, y se conecta a nodos públicos de Ethereum, aunque el propósito de esas conexiones aún no se ha establecido. La solicitud de permisos adicionales puede aparecer con un retraso de hasta 40 minutos, para que el usuario no la relacione con la ejecución del instalador falso.
Los especialistas de Jamf consideran PamStealer como un ejemplo de una nueva generación de extractores para macOS, que ejecutan con menos frecuencia comandos externos y usan más a fondo las funciones integradas del sistema.