A Jamf, empresa especializada em pesquisas de cibersegurança, detalhou recentemente o PamStealer, um malware que combina técnicas de ataque relativamente conhecidas de maneira sofisticada para explorar Macs.
Para adentrar nas máquinas dos usuários, os invasores usam uma técnica para lá de comum: se passam pelo aplicativo legítimo Maccy com uma página falsa que induz o usuário a baixar um arquivo DMG contendo um AppleScript compilado.
Posts relacionados
- Novo malware engana agentes de IA com alertas falsos no macOS
- Malware usa Apple, Microsoft e Google como iscas em ataques ao macOS
- Empresa descobre dois malwares não detectáveis por antivírus no macOS
Assim que o usuário abre o falso app, o arquivo roda um script capaz de identificar o computador, baixar o segundo estágio do ataque, instalar o malware e executá-lo na máquina.
Ele exibe uma caixa de autenticação com o objetivo de conseguir a senha do sistema e, quando o usuário a digita, mostra um alerta de erro afirmando que o app não pode ser instalado — certamente um padrão já visto pelos usuários em apps legítimos.


Um detalhe interessante é que o malware usa o PAM, o sistema que o próprio macOS emprega para autenticar usuários, para validar a senha do sistema antes de mandá-la aos invasores e evitar o envio de credenciais incorretas — daí o nome PamStealer.
Antes de operar, o malware faz algumas verificações para rodar apenas em máquinas desejadas. Ele falha em Macs com processadores Intel e evita países como Rússia, Bielorrússia e Cazaquistão — o que pode indicar que ele foi desenvolvido na região.
No segundo estágio, é rodado um binário arm64 desenvolvido em Rust, capaz de coletar senhas de navegadores, cookies, bancos de dados SQLite, extensões de carteiras de criptomoedas e até conteúdo da área de transferência do usuário.
Além disso, o malware usa mecanismos de comunicação criptografada, persistência dupla e até mesmo instala um app com o indicador do Finder que é executado em segundo plano e solicita ao usuário acesso total ao disco para obter mais dados.

Nem o X está a salvo…
Em uma publicação no X, a Jamf também detalhou como invasores usaram uma conta verificada na plataforma para divulgar um anúncio de um suposto aplicativo chamado DynamicLake, relacionado à Ilha Dinâmica (Dynamic Island) dos iPhones.
Quando o usuário era direcionado ao site (falso, obviamente), ele era induzido a abrir o Terminal e colar um comando de instalação — uma técnica de engenharia social bastante popular que ficou conhecida nos últimos anos como ClickFix.
Interesting to see ClickFix-style techniques now appearing in sponsored advertisements on X.
— Jamf Threat Labs (@JamfThreatLabs) June 29, 2026
While investigating a sponsored advertisement on X promoting DynamicLake, we found it redirected users to dynamicmacisland[.]com, where they were instructed to open Terminal and execute… pic.twitter.com/n5MOh1oTp5
Ao executar o comando, era instalada na máquina do usuário a MacSync, uma variante recente do Atomic Stealer (AMOS), uma das famílias de malwares para macOS mais populares atualmente — basicamente um ladrão de dados digitais.
Para se proteger, nos dois casos, é sempre bom desconfiar de páginas de softwares na internet (conferir bem a URL é um bom começo) e jamais executar comandos no Terminal ou baixar arquivos sem a certeza de sua procedência.
via AppleInsider