O PamStealer é um novo malware para macOS que se disfarça de Maccy, um gerenciador de área de transferência legítimo e gratuito, e rouba a senha de login do Mac usando uma técnica sem correção possível: ele valida a senha digitada pela vítima através da própria API de autenticação do sistema antes de enviá-la aos atacantes. Descoberto pela Jamf Threat Labs em julho de 2026, o malware também coleta credenciais de navegadores, carteiras de criptomoedas e o iCloud Keychain.
Pontos-chave
- O que é: infostealer para macOS escrito em Rust, distribuído como AppleScript compilado dentro de uma imagem de disco falsa.
- Como se espalha: site clones (
maccyapp[.]com) imitam o endereço real do Maccy (maccy[.]app). - Técnica inédita: usa a API PAM do macOS para confirmar que a senha roubada está correta antes de exfiltrá-la.
- O que rouba: senhas de navegadores, extensões de carteira cripto, iCloud Keychain e conteúdo da área de transferência.
- Proteção: baixar aplicativos somente da loja oficial ou do site verdadeiro e nunca executar AppleScripts de origem duvidosa.
O golpe do Maccy falso
O Maccy é um gerenciador de área de transferência de código aberto, leve e popular entre usuários de Mac. É exatamente essa popularidade que o transforma em isca. Os atacantes registraram domínios parecidos — como maccyapp[.]com, que imita o endereço legítimo maccy[.]app — e distribuem uma imagem de disco (arquivo .dmg) que, ao ser aberta, contém um AppleScript compilado com o nome Maccy.scpt, segundo a análise da The Hacker News.
O truque de engenharia social é elegante. Ao dar duplo clique no arquivo, o macOS abre o Script Editor e exibe uma instrução pedindo que a vítima pressione ⌘ + R ou clique no botão Executar. A lógica maliciosa fica escondida abaixo de um grande bloco de linhas vazias, fora da área visível. Quando o usuário obedece, o código nocivo roda. O mais grave: isso funciona mesmo quando o arquivo ainda carrega o atributo com.apple.quarantine, a marca que o macOS aplica a downloads da internet e que deveria acionar alertas do Gatekeeper.
A pesquisadora Thijs Xhaflaire, da Jamf, explicou à Ars Technica que a combinação de um dropper em JXA (JavaScript for Automation) com um segundo estágio em Rust resulta numa cadeia de execução “mais silenciosa do que a que observamos tipicamente em stealers de macOS de prateleira”. Em vez de recorrer a comandos de shell como curl ou zsh, o script usa APIs Objective-C nativas, o que reduz drasticamente as oportunidades de detecção pelas ferramentas tradicionais.
O truque que valida sua senha
O nome PamStealer vem de Pluggable Authentication Modules, o subsystema de autenticação embutido no macOS (e em outros sistemas Unix). É o componente que confere se a senha digitada no login está correta. O malware sequestra essa função legítima para o próprio benefício.
Depois de instalado, o segundo estágio do PamStealer exibe um prompt de senha nativo do sistema — aquele visual idêntico ao que aparece em operações legítimas — pedindo a senha de login do Mac. Quando a vítima digita, o malware não envia a senha imediatamente. Ele a submete à API PAM local. Se a senha estiver errada, o malware pede novamente e repete o loop até receber a senha correta. Só então ele a exfiltra.
Essa abordagem tem duas consequências práticas. Primeiro, o atacante recebe garantia de que a credencial funciona, o que eleva o valor da senha no mercado clandestino e a viabiliza para acessos posteriores. Segundo, como a validação acontece localmente, sem subprocessos estranhos ou tráfego suspeito no momento da checagem, ela não deixa rastros que antivírus comuns consigam flaggear. Não existe patch para essa técnica: ela abusa de uma API projetada para funcionar exatamente assim.
O que o malware rouba
Validada a senha, o segundo estágio — um binário Mach-O escrito em Rust e disfarçado de aplicativo Finder — entra em ação. Ele usa uma cópia embutida do SQLite para ler bancos de dados de navegadores e coletar uma quantidade considerável de informação sensível.
| Dado roubado | Onde está | Risco para o usuário |
|---|---|---|
| Senhas e cookies de navegador | Chrome, Safari, Firefox | Acesso a e-mail, bancos e redes sociais |
| Carteiras de criptomoedas | Extensões do navegador | Perda direta de fundos em cripto |
| iCloud Keychain | Cofre de senhas da Apple | Vazamento de todas as senhas salvas |
| Área de transferência | Conteúdo copiado | Captura de tokens e códigos temporários |
| Senha de login do Mac | Sistema (via PAM) | Acesso remoto e persistência |
O material coletado é criptografado e enviado ao servidor controlado pelos atacantes (avenger-sync[.]live) numa requisição HTTP de saída. Para completar o acesso, o malware ainda induz a vítima a conceder Acesso Total ao Disco — mas espalha esse pedido ao longo de até quarenta minutos, de modo que a solicitação não coincida com o momento do lançamento e desperte menos desconfiança.
Por que só ataca Apple Silicon
O dropper do PamStealer é seletivo. Antes de baixar o segundo estágio, ele faz uma impressão digital do computador — arquitetura de CPU, idioma, layout do teclado e fuso horário — e deriva uma chave de criptografia a partir desses dados para destravar a configuração que contém o endereço do payload.
Em Macs com processador Intel, a chave derivada é diferente e falha ao decodificar a configuração, fazendo o dropper encerrar a execução. O segundo estágio só foi compilado para a arquitetura ARM dos chips da Apple. O script também aborta em ambientes de análise ou sandbox e bloqueia sistemas cujo idioma, fuso e teclado apontem para países do leste europeu — Rússia, Bielorrússia, Cazaquistão, Armênia, Azerbaijão, Quirguistão, Moldávia, Tajiquistão, Uzbequistão, Turcomenistão e Geórgia. É o clássico geofencing de grupos criminosos que evitam atingir regiões onde operam ou onde a justiça local possa reagir.
Para o usuário brasileiro, isso significa que Macs com chip M1, M2, M3 ou mais recentes estão no alvo. A crescente adoção de notebooks Apple no Brasil — especialmente entre profissionais de tecnologia, design e finanças — amplia a superfície de ataque.
Como saber se fui infectado
Alguns sinais merecem atenção. A abertura inesperada do Script Editor, prompts de senha do sistema aparecendo fora de contexto e pedidos de Acesso Total ao Disco por um aplicativo chamado Maccy que não veio da Mac App Store são indicadores claros. A presença de arquivos como Maccy.scpt ou de binários disfarçados de Finder (com identificadores como com.apple.finder.core ou com.apple.security.daemon) também deve acender o alerta.
Se houver suspeita de infecção, o caminho recomendado é desconectar o Mac da internet, trocar a senha de login a partir de outro dispositivo confiável, revogar sessões ativas em serviços críticos (e-mail, banco, carteiras de cripto) e restaurar o sistema a partir de um backup limpo. Como o PamStealer pode ter exfiltrado o iCloud Keychain, todas as senhas armazenadas devem ser consideradas comprometidas e redefinidas.
Como se proteger agora
- Baixe o Maccy do lugar certo. O endereço oficial é
maccy[.]appou a Mac App Store. Desconfie de qualquer outro domínio parecido. - Nunca execute AppleScripts de origem desconhecida. Se um arquivo
.scptpedir para você pressionar⌘ + R, trate como ameaça. - Ative a autenticação em duas etapas. Mesmo que a senha vazem, a segunda camada bloqueia o acesso remoto ao iCloud e a serviços bancários.
- Revise os atributos de quarentena. Aplicativos baixados da internet mantêm o selo
com.apple.quarantine. Um “Maccy” sem esse atributo pode ter sido manipulado. - Use uma solução de segurança para Mac. Ferramentas como as da própria Jamf e de outros fornecedores já incorporam detecção para essa cadeia de ataque.
A evolução do PamStealer mostra que os stealers para Mac deixaram de ser amadorísticos. A combinação de Rust, APIs nativas e validação local de senha reduz a janela de detecção e eleva o lucro dos criminosos. A defesa mais eficaz continua sendo a mais simples: nunca confiar em um aplicativo que não veio da fonte oficial.
Leia também
- Instalador falso do Claude Code rouba senhas via anúncios
- BioShocking: IA do navegador rouba suas senhas sem aviso
- Extensões de navegador: o risco invisível que virou prioridade
Referências
- The Hacker News — PamStealer Uses Fake Maccy Sites and PAM Checks to Steal Mac Login Passwords (3 jul. 2026)
- Ars Technica — Newly discovered PamStealer isn’t your typical macOS malware (2 jul. 2026)
- SQ Magazine — PamStealer macOS Malware Verifies Passwords Live (jul. 2026)
- Cult of Mac — PamStealer malware poses as a Mac clipboard app (jul. 2026)
- Tech Times — Mac Infostealer Weaponizes Apple’s Own PAM API (4 jul. 2026)