Zum Inhalt springen

PamStealer: Rust-basierter Infostealer tarnt sich als Maccy-Clipboard-Manager

Auf den Punkt: PamStealer kombiniert Social Engineering, native macOS-Funktionen und Rust-basierte Payloads, um sich als Systemprozess zu tarnen und Passwörter sowie Clipboard-Inhalte zu stehlen.

Forscher von Jamf Threat Labs haben den Infostealer PamStealer entdeckt, der macOS-Nutzer durch die Tarnung als Open-Source-Anwendung Maccy um Zugangsdaten und Browserdaten bringt. Der Angriff nutzt AppleScript-basierte Infektionswege und native macOS-APIs, um Erkennungsmaßnahmen zu umgehen.

Der Infostealer PamStealer wird von Jamf Threat Labs als neue macOS-Bedrohung klassifiziert, die gezielt Zugangsdaten und vertrauliche Informationen abgreift. Die Malware imitiert die bekannte Open-Source-Anwendung Maccy, einen Clipboard-Manager für macOS.

Das Infektionsszenario beginnt mit einem AppleScript-Dokument, das Anwender im macOS Script Editor öffnen und selbst ausführen sollen. Das Skript enthält Hinweise, die zur Ausführung des enthaltenen Codes verleiten, während dies kein klassisches Shell-Kommando ist. Das AppleScript lädt anschließend einen in Rust entwickelten Infostealer nach, der sich danach permanent auf dem System installiert. Dieser Mechanismus hinterlässt deutlich weniger charakteristische Spuren als herkömmliche Malware-Infektionen.

Nach der Installation zeigt PamStealer eine täuschend echte macOS-Passwortabfrage an, die der authentischen Autorisierungsaufforderung des Betriebssystems ähnelt. Die eingegebenen Passwörter werden lokal validiert und dann für weitere Systemaktionen missbraucht. Parallel sammelt der Stealer Browser-Cookies, Browserdaten und Zwischenablage-Inhalte. In weiteren Schritten versucht die Malware, den Benutzer zur Genehmigung von Full Disk Access zu bewegen, um auf geschützte Systembereiche zuzugreifen.

Nach Analyse von Jamf Threat Labs nutzt PamStealer keine grundlegend neuen Angriffsmethoden, sondern kombiniert bewährte Techniken effektiv: Die Nutzung nativer macOS-APIs, glaubwürdige Täuschung und das mehrstufige Vorgehen führen dazu, dass klassische Sicherheitssignale ausbleiben. Einzelne Aktionen wirken für sich isoliert harmlos und entsprechen normalem Betriebssystem-Verhalten, was es Sicherheitslösungen erschwert, den Angriff frühzeitig zu erkennen.

Für CISOs bedeutet dies: Modernes macOS-Schadcode setzt zunehmend auf Unauffälligkeit statt laute Schadfunktionen. Effektive Abwehr erfordert kontextbasierte Überwachung, die nicht einzelne verdächtige Ereignisse, sondern die Verkettung mehrerer scheinbar harmlosen Aktivitäten erkennt und korreliert, um komplexe Angriffsketten wie PamStealer rechtzeitig zu stoppen.


Quelle: www.it-daily.net · Erschienen 7. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.

Share on: