Este es el malware que aterra a los usuarios de Mac: "Es una cadena de ejecución más silenciosa"

Investigadores de ciberseguridad han dado con PamStealer, que no parece ser el malware habitual de macOS, sino que es aún más peligroso porque actúa de manera discreta.
Un equipo de expertos en ciberseguridad y cibercrimen han advertido un malware para el sistema operativo que funciona en los ordenadores de Apple y que combina diferentes técnicas de ataque para infectar estos dispositivos de manera sigilosa.
Los usuarios de macOS corren el riesgo de encontrarse con este software malicioso, que está desarrollado a medida y tiene la capacidad de robar credenciales y otra información personal de las víctimas, que se distribuye en dos fases.
Este malware está siendo especialmente difícil de atrapar, debido a que tiene una forma de ejecutarse diferente, al adoptar "cadenas de ejecución más silenciosas e implementaciones nativas que reducen las oportunidades de detección tradicionales".
Así funciona PamStealer, el malware que aterra a los usuarios de Mac
Tal y como relatan desde el portal especializado ArsTechnica, según el informe de Jamf, en la primera de estas fases se muestra un icono fraudulento de Maccy, que es un gestor de portapapeles para Mac y que está compilada como AppleScript, el lenguaje de programación integrado en estos equipos.
Con ello, los investigadores de la división Threat Labs de Jamf han señalado que la segunda fase consiste en el robo de información de Mach-O para arm64 (Apple Silicon) basado en el lenguaje de programación Rust.
De este modo, PamStealer usa la interfaz de Módulos de Autenticación Conectables o Pluggable Authentication Modules, que actúan como capa intermedia entre las aplicaciones y los métodos de validación, para robar la información y las credenciales de los usuarios.
Así, cuando el usuario quiere entrar en su sesión, ignorándolo por completo, envía la información de su nombre o alias y su contraseña a un servidor controlado por los atacantes, que continúan trabajando de manera sibilina.
Desde el comentado portal especializado en tecnología han indicado que el uso de imágenes y AppleScript es muy habitual para poner en marcha campañas de malware en ordenadores de Apple, pero que la forma en que PamStealer combina técnicas de ejecución es algo más novedosa.
Funcionamiento sigiloso y técnicas de robo innovadoras
"En lugar de depender de comandos de shell como curl o zsh, el AppleScript ejecuta un descargador JavaScript para automatización (JXA) autónomo que recupera y prepara la carga útil mediante las API nativas de Objective-C", han matizado los investigadores de la empresa de ciberseguridad.
Con ello, han explicado que "combinado con una segunda etapa basada en Rust y un flujo de trabajo de captura de contraseñas que valida las credenciales localmente a través de PAM, el resultado es una cadena de ejecución más silenciosa que la que solemos observar en los programas de robo de macOS comunes".
Asimismo, los expertos han sugerido que los ciberdelincuentes se salen con la suya gracias su pericia, debido a que, una vez que la víctima haya validado sus credenciales en la API, si son válidas, recibe un mensaje de PamStealer aparentemente legítimo en el que se indica que el archivo al que quieren acceder está dañado.
Por último, desde Jamf han querido destacar que este software malicioso emplea técnicas diferentes para tener un mayor alcance en el robo de información, debido a que puede llegar a solicitar a la víctima que otorgue el acceso total al su unidad de almacenamiento a la presuntamente legítima Maccy.


