Skip to main content

El peligroso malware que acecha a los usuarios de Mac destaca por ser una cadena de ejecucion extremadamente silenciosa capaz de pasar desapercibida ante los sistemas de seguridad convencionales

Un equipo de expertos en ciberseguridad ha detectado la presencia de PamStealer, una amenaza digital que se aleja de los patrones convencionales de malware en macOS al implementar estrategias de infiltracion altamente sigilosas y sofisticadas que multiplican su peligrosidad al operar bajo un perfil bajo para evadir cualquier deteccion temprana

Un equipo de expertos en ciberseguridad ha detectado la presencia de PamStealer, una amenaza digital que se aleja de los patrones convencionales de malware en macOS al implementar estrategias de infiltracion altamente sigilosas y sofisticadas que multiplican su peligrosidad al operar bajo un perfil bajo para evadir cualquier deteccion temprana
 

Alerta de seguridad-informatica.html" target="_blank" rel="noopener">ciberseguridad sobre PamStealer, una amenaza invisible para usuarios de macOS

Un seguridad-informatica.html" target="_blank" rel="noopener">malware sofisticado que desafia las defensas tradicionales en dispositivos Apple

Un grupo especializado en seguridad-informatica.html" target="_blank" rel="noopener">ciberseguridad y cibercrimen ha lanzado una advertencia urgente sobre un nuevo seguridad-informatica.html" target="_blank" rel="noopener">malware diseñado específicamente para el sistema operativo de Apple. Este programa malicioso destaca por combinar una serie de técnicas de ataque avanzadas que le permiten infectar los equipos de manera sigilosa y altamente efectiva. Los usuarios de macOS se enfrentan ahora a un riesgo elevado, ya que este software, desarrollado a medida, tiene la capacidad de sustraer credenciales y datos personales sensibles a traves de un proceso de infeccion dividido en dos fases distintas. Lo que hace que PamStealer sea especialmente peligroso es su arquitectura de ejecucion. A diferencia de otros programas maliciosos, este utiliza cadenas de operacion mas silenciosas e implementaciones nativas que logran eludir los metodos de deteccion tradicionales. La comunidad de seguridad-informatica.html" target="_blank" rel="noopener">ciberseguridad, tras analizar el caso publicado en el portal ArsTechnica y basandose en el informe de la firma Jamf, ha desglosado como opera esta amenaza.

El metodo de operacion de PamStealer

La primera fase de la infeccion comienza con la presentacion de un icono fraudulento que imita a Maccy, una conocida aplicacion que funciona como gestor de portapapeles para Mac. Este componente inicial esta compilado como AppleScript, un lenguaje de programacion que viene integrado de forma nativa en los equipos de Apple, lo que facilita que los usuarios confien en el archivo.
  Por otro lado, los investigadores de la division Threat Labs de Jamf han identificado que la segunda fase consiste en el robo de informacion utilizando un binario Mach-O para la arquitectura arm64, propia de los procesadores Apple Silicon, desarrollado mediante el lenguaje de programacion Rust. El punto clave de su funcionamiento es el uso de la interfaz de Modulos de Autenticacion Conectables, conocidos como PAM. Estos modulos actuan como una capa intermedia entre las aplicaciones y los metodos de validacion del sistema. Cuando el usuario intenta iniciar sesion, el seguridad-informatica.html" target="_blank" rel="noopener">malware intercepta el proceso y envia tanto el nombre de usuario como la contraseña a un servidor controlado por los atacantes, todo ello sin que la victima note ninguna actividad sospechosa en su equipo.

Innovacion en tecnicas de robo y evasion

Aunque el uso de imagenes falsas y AppleScript es una practica habitual en las campañas de seguridad-informatica.html" target="_blank" rel="noopener">malware dirigidas a ordenadores Apple, PamStealer introduce un nivel de sofisticacion superior al combinar estas herramientas de una forma novedosa. Los expertos de Jamf señalan que, en lugar de depender de comandos de shell comunes como curl o zsh, el AppleScript ejecuta un descargador JavaScript para automatizacion (JXA) autonomo. Este descargador recupera y prepara la carga util utilizando las API nativas de Objective-C. Esta combinacion, sumada a la etapa basada en Rust y al flujo de trabajo de captura de contraseñas, genera una cadena de ejecucion mucho mas silenciosa de lo habitual. Ademas, los ciberdelincuentes utilizan una ingenieria social muy precisa: una vez que la victima introduce sus credenciales en la API y estas son validadas, el seguridad-informatica.html" target="_blank" rel="noopener">malware muestra un mensaje aparentemente legitimo indicando que el archivo al que el usuario intentaba acceder esta dañado. Esto evita que la victima sospeche del robo. Finalmente, los investigadores han destacado que PamStealer puede solicitar permisos de acceso total al disco duro bajo la apariencia de la aplicacion Maccy, lo que permite a los atacantes expandir su alcance y comprometer aun mas la privacidad del sistema.