PamStealer colpisce gli utenti Mac con finte pagine Maccy

PamStealer colpisce gli utenti Mac con finte pagine Maccy

PamStealer colpisce gli utenti Mac con finte pagine Maccy

Se usi un Mac, la regola più importante è semplice: scarica sempre le app solo dai siti ufficiali e diffida di file che chiedono di essere aperti in Script Editor. In questa campagna, un falso sito che imita un noto gestore di clipboard viene usato per distribuire un malware capace di rubare dati sensibili e di insistere con richieste di password fino a ottenere quella corretta.

Cosa sta succedendo

Una nuova minaccia per macOS, chiamata PamStealer, sta sfruttando un sito contraffatto che imita un’app legittima per clipboard manager. L’obiettivo è convincere l’utente a scaricare un archivio apparentemente innocuo, ma che in realtà contiene uno script malevolo progettato per avviare il furto di credenziali e dati personali.

La particolarità di questa campagna non è solo il travestimento, ma anche il modo in cui viene costruita. PamStealer usa una sequenza di esecuzione in due fasi, con uno script iniziale che prepara il terreno e un secondo componente più evoluto, scritto in Rust, che raccoglie informazioni dal sistema e le invia all’esterno.

Per l’utente finale, il segnale più importante è questo: un’app scaricata da una fonte non verificata che richiede una procedura insolita è un forte campanello d’allarme. Se compare una richiesta di password inattesa o una finestra che spinge a concedere permessi sensibili, è prudente interrompere tutto e controllare la provenienza del download.

Come funziona l’inganno

L’attacco inizia con una disk image che contiene un file AppleScript compilato, presentato come se fosse collegato a un’app nota e affidabile. Il file, una volta aperto, viene lanciato in Script Editor, dove il codice dannoso è nascosto dietro istruzioni visibili e lunghi blocchi di spazio vuoto che ne rendono meno evidente la natura malevola.

Il primo stadio non ruba direttamente i dati: agisce come downloader. Il suo compito è scaricare e preparare il payload successivo, sfruttando componenti nativi del sistema invece di affidarsi a comandi rumorosi e facilmente individuabili. Questo approccio riduce i segnali evidenti e rende l’intera catena di infezione più discreta rispetto a molte famiglie di malware per Mac più comuni.

Una volta completata questa fase, entra in gioco il secondo stadio: un binario Mach-O scritto in Rust che si presenta con il nome e l’aspetto di un componente di sistema, in modo da sembrare meno sospetto. Da lì in poi il malware inizia a cercare dati utili per il furto di identità digitale e per possibili movimenti laterali.

Quali dati cerca di rubare

PamStealer è progettato per raccogliere diverse categorie di informazioni, con un’attenzione particolare ai dati che possono essere monetizzati rapidamente o usati per altri attacchi.

Tra gli obiettivi segnalati ci sono:

  • Dati dei browser, inclusi elementi che possono aiutare a recuperare account e sessioni.
  • Wallet di criptovalute, in particolare estensioni o componenti usati per la gestione delle chiavi.
  • Keychain di iCloud, che può contenere credenziali e informazioni di accesso.
  • Contenuto della clipboard, utile per intercettare password copiate, codici o indirizzi wallet.
  • Dati di persistenza, per tentare di rilanciarsi dopo un riavvio o un nuovo login.

Il quadro complessivo mostra una minaccia orientata al furto di informazioni pratiche e subito sfruttabili. In altre parole, non punta soltanto a infastidire l’utente: mira a sottrarre gli elementi necessari per prendere il controllo di account, portafogli digitali e servizi collegati al Mac.

Perché la richiesta di password è così pericolosa

Uno degli aspetti più insidiosi di PamStealer è la finestra che chiede la password in modo credibile. La richiesta appare con un linguaggio e un aspetto molto simili a quelli di una normale autorizzazione di macOS, inducendo l’utente a pensare che sia un passaggio legittimo per completare l’installazione.

In realtà, il malware usa un meccanismo interno di macOS per verificare localmente la password inserita. Se l’utente sbaglia, il prompt ricompare e insiste fino a quando non viene digitata la password corretta. Questo comportamento aumenta la probabilità che la vittima finisca per concedere il segreto richiesto senza sospettare che si tratti di una trappola.

Il problema non è solo la raccolta della password in sé, ma anche il fatto che il malware riesca a farla sembrare una normale operazione di sistema. Quando una richiesta di autenticazione arriva subito dopo un download non verificato, va trattata come sospetta fino a prova contraria.

Segnali pratici da riconoscere

Ci sono alcuni comportamenti che possono aiutare a riconoscere una minaccia simile prima che sia troppo tardi. Anche senza strumenti avanzati, un utente attento può notare elementi fuori posto.

I segnali più utili includono:

  • Un sito con nome molto simile a quello ufficiale, ma non identico.
  • Un download distribuito come .scpt o come disk image inattesa.
  • Istruzioni che chiedono di aprire il file in Script Editor.
  • Una finestra di password comparsa poco dopo l’apertura di un file appena scaricato.
  • Un’app che usa nomi comuni di sistema, come Finder o Software Update, in modo anomalo.
  • Processi che sembrano legittimi ma provengono da percorsi insoliti.

Se uno o più di questi elementi sono presenti insieme, la prudenza deve essere massima. In particolare, i file AppleScript non dovrebbero essere considerati innocui solo perché sono legati a un’app apparentemente conosciuta.

Come proteggersi subito

Per ridurre il rischio, le azioni più efficaci sono semplici e concrete.

  • Scarica solo da fonti ufficiali e verifica sempre il dominio del sito.
  • Evita file che chiedono passaggi insoliti, soprattutto se provengono da archivi o disk image.
  • Non inserire la password se la richiesta arriva dopo un’installazione dubbia.
  • Controlla i permessi concessi alle nuove app, soprattutto Full Disk Access e accesso alla clipboard.
  • Osserva i prompt del sistema con attenzione: una finestra credibile non garantisce che la richiesta sia legittima.
  • Aggiorna regolarmente macOS e le applicazioni di sicurezza per ridurre la finestra di esposizione.

Per gli utenti che gestiscono wallet, credenziali aziendali o archivi sensibili, è particolarmente importante separare le attività quotidiane da quelle finanziarie. Se possibile, usare un ambiente dedicato o un account separato per operazioni critiche può limitare l’impatto di un eventuale compromesso.

Perché questa campagna è rilevante

PamStealer mostra come le minacce per Mac stiano diventando più sofisticate sia nella parte tecnica sia nella parte psicologica. Non si limita a nascondersi: sfrutta abitudini comuni degli utenti, come la fiducia in un’app conosciuta o la tendenza ad autorizzare rapidamente le finestre di sistema.

La combinazione di ingegneria sociale, AppleScript compilato, JXA, Rust e uso di componenti nativi di macOS rende la campagna più credibile e più difficile da individuare con controlli superficiali. Questo tipo di attacco dimostra che anche gli ambienti percepiti come “sicuri” possono essere sfruttati con tecniche pensate per sembrare normali.

Per chi usa un Mac ogni giorno, il messaggio chiave è chiaro: la sicurezza non dipende solo dal sistema operativo, ma anche da quanto attentamente si verificano file, siti e richieste di autorizzazione.

Technical Deep Dive

PamStealer adotta una catena di esecuzione a due stadi che riduce la visibilità del comportamento malevolo. Il primo stadio è un AppleScript compilato incluso in una disk image, e la sua funzione principale è quella di avviare il download del payload successivo tramite un componente JavaScript for Automation (JXA). L’uso di API native Objective-C consente di evitare meccanismi più ovvi e facilmente osservabili, come l’esecuzione di comandi shell tradizionali.

Il secondo stadio è un binario Mach-O scritto in Rust, una scelta che offre portabilità, controllo preciso del comportamento e una base adatta a un infostealer modulare. Secondo le analisi disponibili, il payload può effettuare raccolta di dati dai browser, accedere a informazioni di Keychain, leggere il contenuto della clipboard richiamando ripetutamente strumenti di sistema come pbpaste, e mantenere persistenza tramite meccanismi tipici di macOS.

Il comportamento più distintivo è l’uso dell’interfaccia PAM per verificare la password dell’utente. In pratica, il malware presenta un prompt nativo che imita un’autorizzazione di sistema e poi passa la password inserita al framework di autenticazione locale. Se la validazione fallisce, il ciclo riparte e il prompt viene riproposto. Questo approccio è importante perché consente al malware di confondere l’utente con un flusso di autenticazione credibile, mentre al tempo stesso conferma la correttezza della password prima dell’esfiltrazione.

Dal punto di vista difensivo, i controlli più utili includono l’analisi dei processi avviati da percorsi insoliti, la rilevazione di app firmate in modo anomalo o posizionate in directory non standard, il monitoraggio di richieste ripetute di accesso alla clipboard e la correlazione tra Script Editor, nuove login items e processi che impersonano componenti di sistema. Anche l’osservazione di dialoghi di autorizzazione comparsi subito dopo l’apertura di un file scaricato di recente può aiutare a intercettare la fase iniziale dell’infezione.

Una difesa efficace contro questo tipo di minaccia richiede quindi attenzione sia al phishing di file sia al comportamento post-esecuzione. In altre parole, non basta riconoscere il sito falso: bisogna anche trattare con sospetto qualsiasi sequenza di installazione che porti a richieste di password non attese, accessi estesi al filesystem o processi che sembrano app legittime ma operano da posizioni anomale.

Fonte: https://t.me/thehackernews/9403

Torna in alto