- malware chamado PamStealer se disfarça de Maccy, um gerenciador da área de transferência, para infectar Macs.
- o golpe começa quando a vítima baixa a imagem em disco Maccy.scpt e, ao abrir, é orientada a rodar o programa pelo Script Editor, abrindo a infecção.
- para evitar detecção, o app utiliza caracteres de outros alfabetos, como grego e aramaico.
- há verificações regionais que encerram a infecção em aparelhos de certos países, como Rússia, Bielorrússia e Cazaquistão, sugerindo a origem do malware.
- após instalado, PamStealer pode ler a área de transferência e, se a vítima aprovar, registrar dados de apps como Messages, Mail e backups do sistema; recomenda-se baixar o Maccy apenas de fontes confiáveis.
O Jamf Threat Labs alertou sobre um malware para macOS que se apresenta como uma ferramenta popular de copiar e colar. Intitulado PamStealer, ele imita o gerenciador de clipboard Maccy e busca enganar usuários de Macs. A denúncia aponta que a ameaça utiliza uma abordagem de phishing indireta para se instalar.
Segundo o estudo, o PamStealer se disfarça do Maccy, um aplicativo de código aberto usado para gerenciar a área de transferência. A tática envolve a suposição de identidade de um software conhecido para induzir usuários a instalar o malware.
O funcionamento começa com o download acidental da imagem em disco Maccy.scpt, levando o usuário a abrir o Script Editor para iniciar a execução. Ao abrir, o app pede que o usuário rode o programa a partir do Script Editor, abrindo caminho para a infecção.
Para evitar detecção, a ameaça usa caracteres de alfabetos diversos, como grego e aramaico, dificultando a identificação por parte de mecanismos de segurança. A espionagem se intensifica após a instalação, se o usuário autorizar o app.
Os autores implementaram verificações regionais e desativam a infecção em aparelhos de países como Rússia, Bielorrússia e Cazaquistão, sugerindo uma origem configurada para o malware. Esse comportamento indica uma estratégia de alvos geográficos.
Uma vez instalado, PamStealer pode ler o conteúdo da área de transferência e, se o usuário conceder permissões, registrar informações de apps como Messages e Mail, além de dados de backups do sistema. A vulnerabilidade representa risco de exfiltração de dados.
Medidas de proteção
- Verifique a origem do Maccy e baixe apenas de fontes oficiais.
- Desconfie de solicitações para executar scripts a partir do Script Editor.
- Revise permissões de apps que pedem acesso à área de transferência e a dados sensíveis.
- Mantenha o macOS e ferramentas de segurança atualizados para reduzir vulnerabilidades.
As autoridades de segurança recomendam cautela ao baixar software de clipboard e reforçam a checagem de fontes antes de instalar qualquer utilitário relacionado à área de transferência. Para mais informações sobre proteção digital, consulte fontes de segurança de confiança.
Entre na conversa da comunidade