PamStealer: Nuevo infostealer para macOS camuflado como Maccy compromete datos sensibles
Introducción
En las últimas semanas, investigadores de Jamf Threat Labs han detectado una nueva amenaza dirigida a sistemas macOS: PamStealer, un infostealer que utiliza métodos avanzados de ingeniería social y técnicas evasivas para infiltrarse en dispositivos Apple y exfiltrar información confidencial. A diferencia de otros troyanos y stealers tradicionales, PamStealer destaca por su capacidad de camuflaje y su creatividad en la manipulación de scripts nativos del sistema operativo, lo que eleva el nivel de sofisticación de los ataques contra entornos macOS.
Contexto del Incidente
PamStealer fue identificado tras una campaña de distribución en la que los atacantes suplantaban a Maccy, un popular gestor de portapapeles de código abierto para macOS. El vector inicial consiste en un fichero AppleScript compilado (.scpt) que, a simple vista, parece ser el instalador legítimo del software. Esta táctica busca aprovechar la confianza de los usuarios técnicos que optan por herramientas open source y que pueden descargar aplicaciones fuera de la Mac App Store, un escenario habitual en entornos de desarrollo, pentesting y administración de sistemas.
Detalles Técnicos
El archivo malicioso distribuido como supuesto instalador de Maccy esconde en su interior un script AppleScript compilado, una técnica poco convencional pero eficaz para evadir la detección por parte de soluciones antimalware tradicionales. PamStealer, una vez ejecutado, aprovecha los permisos concedidos al usuario para acceder a datos sensibles almacenados localmente, tales como:
– Contraseñas e información de llaveros (Keychain)
– Cookies y datos de sesión de navegadores como Safari y Chrome
– Tokens de autenticación y credenciales de aplicaciones
– Información de portapapeles (clipboard) y archivos recientes
No se ha asignado aún un CVE específico para PamStealer, aunque la explotación se basa en el abuso de AppleScript y la ejecución de comandos privilegiados. En términos de TTPs (Tácticas, Técnicas y Procedimientos) según MITRE ATT&CK, el ataque encaja principalmente en:
– T1059.002 (Command and Scripting Interpreter: AppleScript)
– T1552.001 (Unsecured Credentials: Credentials In Files)
– T1087 (Account Discovery)
– T1115 (Clipboard Data)
Actualmente, no se han detectado exploits públicos en frameworks como Metasploit o Cobalt Strike para PamStealer, pero el vector de ataque es susceptible de ser integrado en campañas de phishing dirigidas a desarrolladores y administradores de sistemas.
Impacto y Riesgos
Aunque la prevalencia de PamStealer es aún reducida en comparación con infostealers para Windows, representa una amenaza creciente dada la tendencia de incremento de ataques contra macOS. Según datos de Jamf, aproximadamente un 3% de los equipos analizados en entornos empresariales muestran indicios de intentos de infección con variantes similares. El riesgo principal radica en la exfiltración de credenciales, que puede servir como punto de entrada para ataques posteriores de movimiento lateral, ransomware o explotación de infraestructura cloud.
La suplantación de aplicaciones open source también plantea un problema de cadena de suministro: usuarios y empresas que descargan software de repositorios no verificados pueden estar expuestos a infecciones sin percatarse.
Medidas de Mitigación y Recomendaciones
– Validar siempre la procedencia de los instaladores, verificando hashes y firmas digitales antes de ejecutar cualquier script o binario.
– Restringir la ejecución de AppleScript y controlar los permisos de automatización en Preferencias del Sistema > Seguridad y Privacidad.
– Utilizar soluciones EDR específicas para macOS, capaces de detectar comportamientos anómalos en scripts y accesos al Keychain.
– Implementar políticas de zero trust y segmentación de usuarios, minimizando el acceso a credenciales y recursos críticos.
– Formar a los usuarios para identificar posibles intentos de phishing y suplantación de aplicaciones.
– Mantener los sistemas y aplicaciones actualizados, aplicando parches de seguridad recomendados por Apple y terceros.
Opinión de Expertos
Analistas de Jamf y otros actores del sector consideran que la aparición de PamStealer marca un cambio de tendencia en el desarrollo de malware para macOS, apostando por técnicas menos convencionales y más orientadas a la explotación de funcionalidades internas del sistema operativo. Según John D. Bennett, investigador principal de Jamf, “la utilización de AppleScript como vector principal demuestra que los atacantes están buscando nuevas formas de evadir la detección y aprovechar la confianza que los profesionales depositan en el software de código abierto”.
Implicaciones para Empresas y Usuarios
Las empresas que gestionan flotas de dispositivos Apple deben revisar sus procesos de adquisición y despliegue de software, así como reforzar los controles de seguridad en endpoints. La exfiltración de credenciales puede tener repercusiones directas en el cumplimiento de normativas como GDPR y NIS2, especialmente si se ven comprometidos datos personales o de acceso a sistemas críticos. Para los usuarios individuales, el riesgo de robo de identidad y acceso no autorizado a servicios personales es significativo.
Conclusiones
PamStealer ejemplifica la creciente sofisticación de las amenazas dirigidas a macOS y la importancia de adoptar un enfoque de seguridad proactivo. La combinación de técnicas de ingeniería social, abuso de scripts nativos y suplantación de software open source obliga a CISOs, analistas SOC y responsables de IT a revisar y fortalecer sus estrategias de defensa, priorizando la validación de software y la monitorización de actividad sospechosa en endpoints Apple.
(Fuente: feeds.feedburner.com)
