Investigadores de Jamf Threat Labs han identificado una sofisticada nueva variante de malware para macOS, denominada PamStealer, que se hace pasar por la herramienta legítima de código abierto «Maccy» para infiltrarse en los sistemas, robar credenciales y exfiltrar datos sensibles, evitando muchos de los métodos de detección habituales.
El malware, revelado públicamente el 2 de julio de 2026, debe su nombre a uno de sus comportamientos más distintivos: en lugar de limitarse a capturar lo que la víctima escribe, PamStealer valida la contraseña robada en tiempo real a través del propio sistema de autenticación de macOS, los Pluggable Authentication Modules (PAM), el mismo sistema que utiliza el propio sistema operativo para verificar los inicios de sesión. Solo cuando la contraseña introducida se confirma como correcta, el malware continúa, descartando los intentos fallidos y solicitando la contraseña nuevamente hasta capturar una válida.
La distribución comienza con una imagen de disco alojada en un sitio web falso, maccyapp[.]com, diseñado para imitar el proyecto real de Maccy. Dentro se encuentra un archivo llamado Maccy.scpt, un AppleScript compilado que se abre automáticamente en el Editor de Scripts integrado de Apple. El texto señuelo pide a la víctima presionar Cmd+R o hacer clic en «Ejecutar», una instrucción sencilla que activa toda la cadena de infección. Cabe destacar que esta técnica funciona incluso en archivos que aún llevan la marca de cuarentena de Apple, un indicador de seguridad pensado para advertir sobre descargas de internet. Además, la malware utiliza en su interfaz caracteres griegos y cirílicos visualmente idénticos a las letras latinas, un truco diseñado para burlar la detección basada en texto sin ser perceptible para el ojo humano.
Una vez activado, el script actúa como un primer nivel de infección. En lugar de depender de herramientas de línea de comandos habituales que el software de seguridad suele vigilar, utiliza interfaces de programación nativas de Apple para descargar directamente la segunda carga útil, generando mucha menos actividad sospechosa que el malware típico para Mac. Antes de hacerlo, obtiene una huella digital del dispositivo —tipo de procesador, distribución del teclado, idioma del sistema y zona horaria— y la utiliza para desbloquear un archivo de configuración cifrado. Los dispositivos ubicados en Rusia, Bielorrusia, Kazajistán y varios países vecinos quedan deliberadamente excluidos, un patrón que, según los investigadores, sugiere que los operadores se encuentran en esa región y buscan evitar la atención de las autoridades locales.
El dropper instala después un segundo componente, más peligroso: un ejecutable programado en Rust, disfrazado como un proceso legítimo del sistema, generalmente con el nombre «Finder». Rust sigue siendo una elección poco habitual entre los autores de malware para Mac, que suelen preferir Swift, Go u Objective-C, lo que dificulta aún más el análisis. Esta segunda etapa lleva a cabo el robo propiamente dicho: lee contraseñas guardadas en navegadores, cookies y datos de billeteras de criptomonedas, accede al Llavero (Keychain) y captura repetidamente el contenido del portapapeles, un objetivo habitual dado lo frecuente que resulta copiar contraseñas y direcciones de billeteras cripto.
Para obtener la contraseña del sistema, crucial para su operación, el malware muestra una ventana de autorización falsa muy convincente, diseñada para parecer una solicitud genuina de macOS. Tras capturar una contraseña válida, aparece un segundo mensaje engañoso que afirma que la aplicación está «dañada» y debe moverse a la papelera, con el objetivo de que la víctima elimine la evidencia sin saber que el robo ya se ha producido. En algunos casos, el malware muestra posteriormente una tercera alerta falsa indicando que Finder ha perdido acceso a datos protegidos, buscando que la víctima conceda manualmente acceso total al disco, lo que expondría datos como Mail, Mensajes y copias de seguridad de Time Machine.
Para mantener la persistencia, PamStealer se registra mediante dos mecanismos independientes, incluido un pequeño programa auxiliar incrustado que imita los Ajustes del Sistema, garantizando que la infección sobreviva a los reinicios. Los datos robados se cifran con ChaCha20-Poly1305 y se envían a un servidor remoto, que los investigadores lograron descifrar parcialmente, revelando datos de configuración que hacen referencia a endpoints públicos de la blockchain de Ethereum, un detalle que podría apuntar a una mayor resiliencia del comando y control o a labores de reconocimiento centradas en criptomonedas.
Los investigadores de Jamf señalan que, si bien los señuelos basados en imágenes de disco y AppleScript son cada vez más comunes en macOS, PamStealer representa una notable evolución por su combinación de un dropper autónomo basado en script, una carga útil en Rust y un robo de contraseñas verificado localmente. Se recomienda a los usuarios evitar abrir archivos .scpt no solicitados, descargar software únicamente desde canales oficiales y desconfiar de solicitudes inesperadas de contraseña del sistema.

El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de