PamStealer, il malware che colpisce gli utenti Mac attraverso un finto sito di Maccy
Un nuovo malware sta prendendo di mira chi utilizza Maccy, il popolare gestore di appunti per Mac, e la cosa preoccupante è quanto sia subdolo nel farlo. Il team di Jamf Threat Labs ha pubblicato un rapporto dettagliato su questa minaccia, battezzata PamStealer, che si diffonde attraverso siti web malevoli costruiti per sembrare identici al sito ufficiale di Maccy.
Il meccanismo è tanto semplice quanto efficace. Chi cerca Maccy online potrebbe finire su una pagina fasulla, scaricare quello che sembra un normale file di installazione e ritrovarsi invece con un file AppleScript mascherato da installer legittimo. Una volta lanciato lo script, parte il payload vero e proprio: un programma capace di tracciare informazioni sul Mac della vittima e inviarle a chi ha orchestrato l’attacco. Il nome PamStealer deriva dal fatto che il malware valida la password di accesso dell’utente sfruttando i Pluggable Authentication Modules (PAM) di macOS, un componente nativo del sistema operativo.
Perché questa minaccia merita attenzione particolare
Quello che rende PamStealer diverso dal solito è la sua architettura. Invece di affidarsi ai classici comandi shell come curl o zsh, lo script AppleScript esegue un downloader JavaScript for Automation (JXA) autonomo che recupera il payload utilizzando API native di Objective C. Il secondo stadio dell’attacco è scritto in Rust, un linguaggio che garantisce prestazioni elevate e rende più difficile l’analisi. Il risultato è una catena di esecuzione decisamente più silenziosa rispetto a quanto si osserva di solito nei malware commerciali per macOS.
E qui sta il punto davvero rilevante: questa tecnica non riguarda solo Maccy. Come sottolinea Jamf, il meccanismo di distribuzione potrebbe essere replicato per qualsiasi altra applicazione. I malware per macOS continuano a evolversi, adottando implementazioni native che riducono le opportunità di rilevamento tradizionale.
Come proteggersi da PamStealer e minacce simili
Per chi usa Maccy, la regola d’oro è verificare sempre di trovarsi sul sito ufficiale maccy.app, l’unico dominio legittimo come confermato anche dalla pagina GitHub del progetto. Ma il discorso vale per qualsiasi software scaricato dal web.
Non aprire mai link ricevuti via email o messaggi da fonti sconosciute o inattese. Se un messaggio sembra provenire da un servizio conosciuto, vale la pena controllare con attenzione l’indirizzo del mittente e l’URL prima di cliccare qualsiasi cosa. Un trucco utile: fare clic col tasto destro su un link, copiare l’indirizzo e incollarlo in un editor di testo per verificare dove porta realmente.
Il Mac App Store resta il canale più sicuro per scaricare applicazioni, visto che Apple sottopone ogni software a un processo di verifica. In alternativa, acquistare direttamente dal sito dello sviluppatore è comunque una scelta ragionevole. Chi invece si affida a software piratato si espone inevitabilmente a rischi di questo tipo, senza possibilità di garanzia alcuna.
La lezione che PamStealer lascia è chiara: anche su macOS, dare per scontata la propria sicurezza non è più un’opzione valida.


