O PamStealer é um novo malware para macOS que se disfarça de Maccy, um gerenciador de área de transferência legítimo e gratuito, e rouba a senha de login do Mac usando uma técnica sem correção possível: ele valida a senha digitada pela vítima através da própria API de autenticação do sistema antes de enviá-la aos atacantes. Descoberto pela Jamf Threat Labs em julho de 2026, o malware também coleta credenciais de navegadores, carteiras de criptomoedas e o iCloud Keychain.

Pontos-chave

  • O que é: infostealer para macOS escrito em Rust, distribuído como AppleScript compilado dentro de uma imagem de disco falsa.
  • Como se espalha: site clones (maccyapp[.]com) imitam o endereço real do Maccy (maccy[.]app).
  • Técnica inédita: usa a API PAM do macOS para confirmar que a senha roubada está correta antes de exfiltrá-la.
  • O que rouba: senhas de navegadores, extensões de carteira cripto, iCloud Keychain e conteúdo da área de transferência.
  • Proteção: baixar aplicativos somente da loja oficial ou do site verdadeiro e nunca executar AppleScripts de origem duvidosa.

O golpe do Maccy falso

O Maccy é um gerenciador de área de transferência de código aberto, leve e popular entre usuários de Mac. É exatamente essa popularidade que o transforma em isca. Os atacantes registraram domínios parecidos — como maccyapp[.]com, que imita o endereço legítimo maccy[.]app — e distribuem uma imagem de disco (arquivo .dmg) que, ao ser aberta, contém um AppleScript compilado com o nome Maccy.scpt, segundo a análise da The Hacker News.

O truque de engenharia social é elegante. Ao dar duplo clique no arquivo, o macOS abre o Script Editor e exibe uma instrução pedindo que a vítima pressione ⌘ + R ou clique no botão Executar. A lógica maliciosa fica escondida abaixo de um grande bloco de linhas vazias, fora da área visível. Quando o usuário obedece, o código nocivo roda. O mais grave: isso funciona mesmo quando o arquivo ainda carrega o atributo com.apple.quarantine, a marca que o macOS aplica a downloads da internet e que deveria acionar alertas do Gatekeeper.

A pesquisadora Thijs Xhaflaire, da Jamf, explicou à Ars Technica que a combinação de um dropper em JXA (JavaScript for Automation) com um segundo estágio em Rust resulta numa cadeia de execução “mais silenciosa do que a que observamos tipicamente em stealers de macOS de prateleira”. Em vez de recorrer a comandos de shell como curl ou zsh, o script usa APIs Objective-C nativas, o que reduz drasticamente as oportunidades de detecção pelas ferramentas tradicionais.

O truque que valida sua senha

O nome PamStealer vem de Pluggable Authentication Modules, o subsystema de autenticação embutido no macOS (e em outros sistemas Unix). É o componente que confere se a senha digitada no login está correta. O malware sequestra essa função legítima para o próprio benefício.

Depois de instalado, o segundo estágio do PamStealer exibe um prompt de senha nativo do sistema — aquele visual idêntico ao que aparece em operações legítimas — pedindo a senha de login do Mac. Quando a vítima digita, o malware não envia a senha imediatamente. Ele a submete à API PAM local. Se a senha estiver errada, o malware pede novamente e repete o loop até receber a senha correta. Só então ele a exfiltra.

Essa abordagem tem duas consequências práticas. Primeiro, o atacante recebe garantia de que a credencial funciona, o que eleva o valor da senha no mercado clandestino e a viabiliza para acessos posteriores. Segundo, como a validação acontece localmente, sem subprocessos estranhos ou tráfego suspeito no momento da checagem, ela não deixa rastros que antivírus comuns consigam flaggear. Não existe patch para essa técnica: ela abusa de uma API projetada para funcionar exatamente assim.

O que o malware rouba

Validada a senha, o segundo estágio — um binário Mach-O escrito em Rust e disfarçado de aplicativo Finder — entra em ação. Ele usa uma cópia embutida do SQLite para ler bancos de dados de navegadores e coletar uma quantidade considerável de informação sensível.

Dado roubado Onde está Risco para o usuário
Senhas e cookies de navegador Chrome, Safari, Firefox Acesso a e-mail, bancos e redes sociais
Carteiras de criptomoedas Extensões do navegador Perda direta de fundos em cripto
iCloud Keychain Cofre de senhas da Apple Vazamento de todas as senhas salvas
Área de transferência Conteúdo copiado Captura de tokens e códigos temporários
Senha de login do Mac Sistema (via PAM) Acesso remoto e persistência

O material coletado é criptografado e enviado ao servidor controlado pelos atacantes (avenger-sync[.]live) numa requisição HTTP de saída. Para completar o acesso, o malware ainda induz a vítima a conceder Acesso Total ao Disco — mas espalha esse pedido ao longo de até quarenta minutos, de modo que a solicitação não coincida com o momento do lançamento e desperte menos desconfiança.

Por que só ataca Apple Silicon

O dropper do PamStealer é seletivo. Antes de baixar o segundo estágio, ele faz uma impressão digital do computador — arquitetura de CPU, idioma, layout do teclado e fuso horário — e deriva uma chave de criptografia a partir desses dados para destravar a configuração que contém o endereço do payload.

Em Macs com processador Intel, a chave derivada é diferente e falha ao decodificar a configuração, fazendo o dropper encerrar a execução. O segundo estágio só foi compilado para a arquitetura ARM dos chips da Apple. O script também aborta em ambientes de análise ou sandbox e bloqueia sistemas cujo idioma, fuso e teclado apontem para países do leste europeu — Rússia, Bielorrússia, Cazaquistão, Armênia, Azerbaijão, Quirguistão, Moldávia, Tajiquistão, Uzbequistão, Turcomenistão e Geórgia. É o clássico geofencing de grupos criminosos que evitam atingir regiões onde operam ou onde a justiça local possa reagir.

Para o usuário brasileiro, isso significa que Macs com chip M1, M2, M3 ou mais recentes estão no alvo. A crescente adoção de notebooks Apple no Brasil — especialmente entre profissionais de tecnologia, design e finanças — amplia a superfície de ataque.

Como saber se fui infectado

Alguns sinais merecem atenção. A abertura inesperada do Script Editor, prompts de senha do sistema aparecendo fora de contexto e pedidos de Acesso Total ao Disco por um aplicativo chamado Maccy que não veio da Mac App Store são indicadores claros. A presença de arquivos como Maccy.scpt ou de binários disfarçados de Finder (com identificadores como com.apple.finder.core ou com.apple.security.daemon) também deve acender o alerta.

Se houver suspeita de infecção, o caminho recomendado é desconectar o Mac da internet, trocar a senha de login a partir de outro dispositivo confiável, revogar sessões ativas em serviços críticos (e-mail, banco, carteiras de cripto) e restaurar o sistema a partir de um backup limpo. Como o PamStealer pode ter exfiltrado o iCloud Keychain, todas as senhas armazenadas devem ser consideradas comprometidas e redefinidas.

Como se proteger agora

  1. Baixe o Maccy do lugar certo. O endereço oficial é maccy[.]app ou a Mac App Store. Desconfie de qualquer outro domínio parecido.
  2. Nunca execute AppleScripts de origem desconhecida. Se um arquivo .scpt pedir para você pressionar ⌘ + R, trate como ameaça.
  3. Ative a autenticação em duas etapas. Mesmo que a senha vazem, a segunda camada bloqueia o acesso remoto ao iCloud e a serviços bancários.
  4. Revise os atributos de quarentena. Aplicativos baixados da internet mantêm o selo com.apple.quarantine. Um “Maccy” sem esse atributo pode ter sido manipulado.
  5. Use uma solução de segurança para Mac. Ferramentas como as da própria Jamf e de outros fornecedores já incorporam detecção para essa cadeia de ataque.

A evolução do PamStealer mostra que os stealers para Mac deixaram de ser amadorísticos. A combinação de Rust, APIs nativas e validação local de senha reduz a janela de detecção e eleva o lucro dos criminosos. A defesa mais eficaz continua sendo a mais simples: nunca confiar em um aplicativo que não veio da fonte oficial.

Leia também

Referências