Cómo eliminar el malware PamStealer (Mac)

Malware específico de Mac

Conocido también como: virus PamStealer

Nivel de peligrosidad:

Obtenga un escaneo gratuito y verifique si su computadora está infectada.

ELIMÍNELO AHORA

Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

¿Qué tipo de malware es PamStealer?

PamStealer es un stealer de información de dos etapas que ataca a los usuarios de macOS. Según la investigación publicada por Jamf Threat Labs, el malware se hace pasar por Maccy, un gestor de portapapeles real de código abierto, para engañar a las víctimas y que lo ejecuten ellas mismas.

La primera etapa es un AppleScript compilado que descarga una segunda carga útil basada en Rust. Si se encuentra PamStealer en un Mac, debe eliminarse de inmediato.

Sitio web falso utilizado para distribuir el malware PamStealer

Descripción general de PamStealer

Los investigadores de Jamf descubrieron que PamStealer llega dentro de una imagen de disco que contiene un archivo llamado Maccy.scpt. Se les indica a las víctimas que abran este archivo en el Editor de Scripts y presionen ⌘+R para «comenzar», lo que en realidad ejecuta el script malicioso.

Una vez en ejecución, la primera etapa perfila el Mac comprobando su arquitectura de CPU, idioma, distribución del teclado y zona horaria. Si el dispositivo parece estar ubicado en Rusia, Bielorrusia, Kazajistán o países cercanos, el malware simplemente deja de ejecutarse.

El script también busca herramientas de depuración y System Integrity Protection antes de descargar la segunda etapa, un ejecutable Mach-O escrito en Rust. Esta etapa lleva una firma de código ad hoc y se oculta dentro de una carpeta del sistema falsa diseñada para parecerse a Finder o a un componente de actualización de software.

¿Qué datos roba PamStealer?

PamStealer está diseñado para robar una amplia gama de información sensible. Lee las credenciales de inicio de sesión directamente a través del sistema PAM de macOS, sin necesidad de abrir una ventana visible del Terminal.

El malware también abre las bases de datos de credenciales del navegador con SQLite para capturar contraseñas guardadas, cookies y datos pertenecientes a extensiones de monederos de criptomonedas. Ejecuta repetidamente el comando pbpaste para monitorizar y copiar todo lo que se coloque en el portapapeles.

Además, PamStealer carga el framework de Seguridad de Apple en tiempo de ejecución para extraer datos del Keychain, el gestor de contraseñas integrado de macOS. Si la víctima concede posteriormente Acceso Total al Disco, el malware también puede acceder a archivos protegidos en otras partes del sistema.

¿Cómo evita PamStealer la detección?

El malware se basa en una solicitud de permiso retardada. En lugar de pedir Acceso Total al Disco de inmediato, puede esperar hasta 40 minutos antes de mostrar el aviso, lo que dificulta relacionar la solicitud con la descarga original.

PamStealer también muestra un mensaje de error falso al estilo de Gatekeeper como señuelo, y disfraza sus solicitudes de autorización utilizando una ventana de alerta nativa de macOS para que parezcan una solicitud normal del sistema en lugar de una proveniente de software desconocido.

Según Jamf, el sitio web falso incluso utilizó caracteres griegos y cirílicos de aspecto similar, una técnica conocida como ataque de homoglifos, en partes de su contenido para eludir los escáneres automatizados basados en texto.

Persistencia y comunicación con los atacantes

Para permanecer instalado tras un reinicio, PamStealer se registra a sí mismo como elemento de inicio de sesión dos veces: una a través de la moderna API ServiceManagement de Apple y otra a través de una interfaz heredada más antigua incluida dentro de un ejecutable auxiliar.

Los datos robados se envían a un servidor remoto en avenger-sync[.]live, enrutados a través de Cloudflare y cifrados con ChaCha20-Poly1305. La configuración del malware también enumera endpoints de la red Ethereum, lo que apunta a un interés en el robo de criptomonedas.

Resumen de la Amenaza:
Nombre virus PamStealer
Tipo De Amenaza Malware para Mac, virus para Mac, stealer, virus de robo de contraseñas.
Síntomas Los stealers están diseñados para infiltrarse sigilosamente en el equipo de la víctima y permanecer en silencio, por lo que no se observan síntomas particulares claramente visibles en una máquina infectada.
Nombres De Detección Combo Cleaner (Trojan.GenericKD.80674484), ESET-NOD32 (OSX/PSW.Agent.IY Trojan), Emsisoft (Trojan.GenericKD.80674484 (B)), Symantec (OSX.Trojan.Gen), Lista Completa De Detecciones (VirusTotal)
Posibles Métodos De Distribución Sitios web falsos que suplantan software legítimo, archivos de imagen de disco (DMG) disfrazados, ingeniería social.
Daño Contraseñas e información bancaria robadas, robo de identidad, criptomonedas robadas, pérdidas financieras, posibles infecciones adicionales.
Eliminación de Malware

Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner.

Descargue Combo Cleaner para Windows

El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Conclusión

PamStealer es un malware que puede recopilar de forma silenciosa contraseñas, datos del Keychain, información del navegador y de monederos de criptomonedas, y el contenido del portapapeles de un Mac infectado. Debido a que se oculta tras una copia falsa de una aplicación real y retrasa sus solicitudes más sospechosas, las víctimas podrían no notar nada extraño hasta que sus cuentas o fondos ya estén comprometidos.

Algunos ejemplos de stealers de información son ShadeStager, Infiniti y Miolab.

¿Cómo se infiltró PamStealer en mi dispositivo?

PamStealer se propaga a través de un sitio web falso, maccyapp[.]com, hecho para parecerse a la página de descarga de Maccy, un gestor de portapapeles legítimo y popular para Mac. El proyecto real de Maccy solo se distribuye desde maccy.app, y su sitio oficial incluso advierte a los visitantes sobre páginas imitadoras.

A las víctimas que descargan la imagen de disco falsa se les indica que abran un archivo llamado Maccy.scpt en el Editor de Scripts y presionen ⌘+R para «comenzar». Ese paso es lo que en realidad ejecuta el script malicioso e inicia la infección en lugar de instalar la aplicación real.

Más allá de esta campaña específica, el malware para Mac suele propagarse de la misma manera: páginas de descarga falsas, anuncios maliciosos, software pirateado, actualizaciones falsas del navegador o del sistema, y archivos adjuntos disfrazados en correos electrónicos y mensajes de phishing.

¿Cómo evitar el malware?

Descargue software únicamente del sitio web oficial del desarrollador o de la Mac App Store, y verifique dos veces el dominio antes de confiar en una página de descarga, especialmente en el caso de utilidades más pequeñas y menos conocidas.

Desconfíe de cualquier instalador que le pida abrir y ejecutar manualmente un script a través del Editor de Scripts o del Terminal. Las aplicaciones legítimas de Mac no necesitan este tipo de paso manual para «comenzar».

Si su equipo ya está infectado, recomendamos ejecutar un análisis con Combo Cleaner Antivirus para Windows para eliminar automáticamente todas las amenazas.

El sitio web falso (maccyapp[.]com) que distribuye PamStealer, imitando la página real de descarga de Maccy:

Sitio web falso maccyapp.com que distribuye el malware PamStealer

Instrucciones engañosas mostradas para engañar a las víctimas y que ejecuten manualmente el script malicioso:

Instrucciones falsas paso a paso utilizadas para ejecutar PamStealer

El sitio web genuino de Maccy (maccy.app) advirtiendo a los visitantes sobre páginas imitadoras:

Sitio web oficial de Maccy advirtiendo sobre sitios web falsos

Eliminación automática instantánea de malware:

La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, que está recomendado para eliminar malware. Descárguelo haciendo clic en el siguiente botón:

DESCARGAR Combo Cleaner

Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Menú rápido:

Eliminación de aplicaciones no deseadas:

Elimine las aplicaciones potencialmente no deseadas de su carpeta «Aplicaciones»:

Eliminación manual de aplicaciones maliciosas de Mac

Haga clic en el icono de Finder. En la ventana de Finder, seleccione «Aplicaciones». En la carpeta de aplicaciones, busque «MPlayerX», «NicePlayer» u otras aplicaciones sospechosas y arrástrelas a la Papelera. Después de eliminar la(s) aplicación(es) potencialmente no deseada(s) que causa(n) los anuncios en línea, analice su Mac en busca de cualquier componente no deseado restante.

DESCARGAR eliminador de infecciones de malware

Combo Cleaner verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Preguntas Frecuentes (FAQ)

Mi dispositivo está infectado con el malware PamStealer, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?

Esto eliminará por completo PamStealer, pero también borrará todo lo almacenado en el dispositivo. Antes de dar un paso tan drástico, generalmente se recomienda probar primero una herramienta antimalware fiable como Combo Cleaner.

¿Cuáles son los mayores problemas que puede causar el malware?

PamStealer extrae y exfiltra datos de los dispositivos infectados, incluidas contraseñas, entradas del Keychain, datos del navegador y contenido del portapapeles. Las infecciones de este tipo pueden conducir al secuestro de cuentas, el robo de criptomonedas, el robo de identidad y otras pérdidas financieras.

¿Cuál es el propósito del malware PamStealer?

El propósito de PamStealer es robar datos sensibles de los dispositivos macOS infectados, incluidas las credenciales de inicio de sesión, las contraseñas del Keychain, los datos del navegador y de los monederos de criptomonedas, y todo lo que se copie en el portapapeles.

¿Cómo se infiltró el malware PamStealer en mi equipo?

PamStealer se distribuye a través de un sitio web falso que imita el gestor de portapapeles real Maccy. Se guía a las víctimas para que abran un script disfrazado en el Editor de Scripts y lo ejecuten manualmente, lo que instala silenciosamente el malware en segundo plano.

¿Me protegerá Combo Cleaner del malware?

Sí, Combo Cleaner puede detectar y eliminar la mayoría de las infecciones de malware conocidas. Tenga en cuenta que ejecutar un análisis completo del sistema es esencial, ya que el malware sofisticado como PamStealer suele ocultarse en las profundidades del sistema.

Compartir:

facebook
X (Twitter)
linkedin
copiar enlace
Tomas Meskauskas

Tomas Meskauskas

Investigador experto en seguridad, analista profesional de malware

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet.

▼ Mostrar discusión

El portal de seguridad PCrisk es ofrecido por la empresa RCS LT.

Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Donar