- Infección mediante versiones falsificadas de la popular herramienta de portapapeles Maccy.
- Uso avanzado del lenguaje Rust y módulos PAM para validar credenciales de inicio de sesión.
- Técnicas de evasión que incluyen retrasos de hasta 40 minutos en la solicitud de permisos.
- Robo masivo de carteras de criptomonedas, llaveros del sistema y datos de navegación.

Los usuarios de ordenadores Apple en España y en el resto del continente europeo están en el punto de mira de una nueva amenaza que se las trae. Se trata de PamStealer, un software malicioso que ha puesto en vilo a la comunidad de ciberseguridad por su capacidad para operar bajo el radar. Este malware no llega por casualidad, sino que se aprovecha de la confianza de quienes buscan herramientas de código abierto para mejorar su productividad diaria.
Lo que hace que este bicho sea especialmente peligroso es su arquitectura, ya que está desarrollado íntegramente en el lenguaje de programación Rust, algo que no se ve todos los días en el ecosistema de macOS. Esta elección no es baladí, pues permite a los atacantes crear herramientas más rápidas, eficientes y, sobre todo, mucho más difíciles de detectar por los antivirus convencionales que solemos tener instalados en nuestros equipos.
El engaño a través de la suplantación de Maccy
La puerta de entrada de este problema es el gestor de portapapeles Maccy, una aplicación muy querida por los usuarios. Los delincuentes han montado una web que es un calco de la original para que la gente descargue una imagen de disco maliciosa. Al abrirla, nos encontramos con un archivo que parece inofensivo pero que en realidad ejecuta un script de AppleScript diseñado para iniciar la cadena de infección sin que nos demos cuenta de que algo va mal en el sistema.
Para no levantar sospechas y evitar que las herramientas de seguridad salten a la primera de cambio, el malware utiliza JavaScript for Automation y APIs nativas del propio sistema operativo. De esta forma, los atacantes logran descargar la carga útil final sin tener que recurrir a procesos sospechosos en la terminal que suelen dejar un rastro muy evidente para cualquier software de protección moderno.
Validación de contraseñas y técnicas de sigilo
Una de las funciones más sorprendentes de PamStealer es su capacidad para verificar que la contraseña que ha robado es la correcta. Para ello, utiliza los Módulos de Autenticación Conectables, conocidos como PAM, que son una parte fundamental de la seguridad de macOS. Mediante este sistema, el malware valida las claves de inicio de sesión de la víctima antes de enviarlas a sus servidores, asegurándose así de que la información recolectada tiene valor real para ellos.
Además, el malware es un experto en el arte del disfraz. Una vez instalado, se hace pasar por procesos legítimos del sistema como el propio Finder o la herramienta de Actualización de Software. Esta estrategia de ingeniería social permite que el ejecutable malicioso pase totalmente desapercibido entre la lista de aplicaciones que están corriendo en segundo plano, lo que complica mucho su eliminación manual por parte del usuario.
Robo de datos y persistencia en el equipo
El objetivo final de PamStealer no es otro que vaciar nuestras cuentas. El software tiene la capacidad de monitorizar el portapapeles, acceder al Llavero de iCloud y extraer claves de carteras de criptomonedas, especialmente de redes como Ethereum. Se ha confirmado que el malware busca activamente bases de datos SQLite del navegador para hacerse con todas las credenciales guardadas, dejando la privacidad del usuario totalmente expuesta ante los atacantes.
Para rematar la jugada, los atacantes han incluido un sistema de retraso temporal muy astuto. La alerta falsa que solicita acceso total al disco puede tardar hasta 40 minutos en aparecer tras la descarga inicial. Con este truco, se consigue que el usuario no relacione la petición de permisos con la aplicación que instaló un rato antes, facilitando que se concedan los accesos necesarios para que el malware campe a sus anchas por los archivos de Mail o Mensajes.
Es de vital importancia que extrememos las precauciones y solo descarguemos software desde fuentes oficiales o la App Store, ya que este tipo de campañas demuestran que los ciberdelincuentes se han lucido a la hora de perfeccionar sus métodos de engaño. Mantener el sistema actualizado y desconfiar de peticiones de contraseña inesperadas sigue siendo la mejor defensa para evitar que nuestros datos personales acaben en las manos equivocadas tras un descuido fortuito.