Basado en información de The Hacker News →
Introducción
Un nuevo malware para macOS demuestra que los atacantes ya no necesitan exploits complejos cuando pueden engañar al usuario para que entregue su propia contraseña. La variante, bautizada PamStealer, combina suplantación de identidad con una verificación técnica que eleva el estándar del robo de credenciales en el ecosistema Apple.
El problema
Investigadores de ciberseguridad, reportados por The Hacker News, han identificado un nuevo infostealer para macOS denominado PamStealer. Descubierto por Jamf Threat Labs, este malware se distribuye como un archivo AppleScript compilado (.scpt) que suplanta a Maccy, un gestor de portapapeles legítimo y de código abierto. La característica que le da nombre —“PAM”— es su capacidad para verificar si ha obtenido la contraseña correcta del sistema antes de proceder con la exfiltración de datos. El ataque no explota vulnerabilidades del sistema, sino que engaña al usuario para que ejecute el script malicioso y luego introduce un prompt falso que solicita la contraseña de inicio de sesión de macOS.
Consecuencias
Una vez que la víctima introduce su contraseña en el diálogo fraudulento, PamStealer puede utilizarla para acceder al llavero de claves de macOS (Keychain), donde se almacenan contraseñas de sitios web, aplicaciones, redes Wi-Fi y certificados. Esto expone también datos del navegador, documentos locales y cualquier secreto guardado en el sistema. El riesgo no es solo la pérdida de una contraseña, sino la posibilidad de que el atacante escale privilegios, acceda a cuentas corporativas remotas o robe identidades completas sin necesidad de vulnerar más capas de seguridad.