PamStealer: el nuevo malware que le roba la contraseña a tu Mac sin que te des cuenta

Jamf descubrió PamStealer, un infostealer para macOS que imita apps legítimas, valida contraseñas localmente y espera 40 minutos para atacar.

Por Equipo Semilla
PamStealer: el nuevo malware que le roba la contraseña a tu Mac sin que te des cuenta
Foto: Unsplash
Ciberseguridad

Aparece un cartel en pantalla: Maccy, el popular gestor de portapapeles para Mac, pide tu contraseña para hacer cambios en el sistema. Ya lo hizo antes, no parece raro. Ingresás tu clave y seguís trabajando. Lo que no sabés es que acaban de robarte las credenciales. Eso es PamStealer, un nuevo infostealer macOS descubierto por los investigadores de la firma de seguridad Jamf, y lo que lo hace diferente es la sofisticación técnica con la que opera.

El ataque en dos fases: imitación y validación silenciosa

El vector de entrada es una imagen de disco que imita a Maccy, una aplicación legítima y bien reputada en la comunidad Mac. Para activarse, el malware requiere que el usuario presione la combinación Command-R después de abrirla, un paso que parece técnico pero que en realidad sirve para saltear la cuarentena de Gatekeeper, el sistema de Apple que bloquea software no verificado por desarrolladores conocidos. A partir de ahí, ejecuta código JXA (JavaScript for Automation), un lenguaje nativo de macOS con acceso privilegiado al sistema que no dispara alertas adicionales.

La segunda fase carga un binario escrito en Rust, lenguaje que se usa cada vez más en malware justamente por su bajo perfil de detección y rendimiento eficiente. Dan Goodin, editor de seguridad de Ars Technica, documentó el detalle técnico más importante: el binario valida las credenciales usando la interfaz PAM (Pluggable Authentication Module) del sistema operativo, el mismo mecanismo que usa macOS para autenticar usuarios de forma legítima. La contraseña se confirma como válida sin que ningún proceso externo genere tráfico de red detectable por las herramientas de seguridad convencionales.

Diseñado específicamente para pasar desapercibido

Los investigadores de Jamf documentaron varias técnicas anti-detección que hacen a PamStealer inusualmente sigiloso. El malware retrasa sus acciones hasta 40 minutos después de la instalación para no coincidir con los análisis de comportamiento que muchas soluciones de seguridad ejecutan en ese período crítico inicial. Enmascara sus procesos del sistema haciéndolos aparecer como Finder, encripta el tráfico de comunicación con el servidor de control remoto, y además intenta acceder a billeteras de Ethereum y solicita permisos de acceso completo al disco del equipo.

El aumento de infostealers dirigidos específicamente a macOS es una tendencia que los especialistas en seguridad vienen registrando hace dos años. Apple reforzó Gatekeeper y el sistema de permisos por aplicación, pero los atacantes adaptaron sus técnicas: en vez de escalar privilegios explotando vulnerabilidades del kernel, ahora se apoyan en ingeniería social y en herramientas nativas del sistema operativo para pasar desapercibidos. El resultado es malware que técnicamente no hace nada que el sistema no esté diseñado para permitir.

Cómo protegerse (en serio, no como lista genérica)

La defensa más efectiva no es un antivirus: es no instalar software de fuera del App Store o de desarrolladores verificados por Apple, y desconfiar de cualquier aplicación que pida la contraseña del sistema justo después de instalarse o actualizarse, especialmente si la solicitud llega de forma inesperada. En entornos de trabajo donde una sola persona administra tanto el correo corporativo como el acceso a la banca digital, un infostealer así puede ser devastador: no roba un dato aislado, se lleva la llave maestra.

Para PyMEs con equipos que usan Mac, la recomendación concreta es implementar un gestor de contraseñas con autenticación de dos factores en todas las cuentas críticas, mantener activado el Gatekeeper en su configuración más restrictiva y hacer una revisión periódica de qué aplicaciones tienen acceso total al disco —un permiso que muy pocas apps legítimas realmente necesitan. El problema de PamStealer no es la sofisticación técnica del código; es que explota la confianza que los usuarios tienen en las apps que ya conocen.

Fuente original: Ars Technica — por Dan Goodin

Comentarios (0)

Inicia sesión para participar en la conversación

O también

Cargando la conversación...

¿Necesitas ayuda profesional?

Si tienes consultas específicas sobre tu proyecto o negocio, nuestro equipo está listo para asesorarte.

PamStealer: el malware que roba contraseñas en Mac | Semilla