Come rimuovere il malware PamStealer (Mac)

Malware Specifico Per Mac

Conosciuto anche come: Virus PamStealer

Livello di danno:

Ottieni una scansione gratuita e controlla se il tuo computer è infetto.

RIMUOVILO SUBITO

Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Che tipo di malware è PamStealer?

PamStealer è un information stealer a due fasi che prende di mira gli utenti macOS. Secondo una ricerca pubblicata da Jamf Threat Labs, il malware si camuffa da Maccy, un vero gestore di appunti open-source, per indurre le vittime a eseguirlo da sole.

La prima fase è uno script AppleScript compilato che scarica un secondo payload basato su Rust. Se PamStealer viene rilevato su un Mac, dovrebbe essere rimosso immediatamente.

Sito web falso utilizzato per distribuire il malware PamStealer

Panoramica di PamStealer

I ricercatori di Jamf hanno scoperto che PamStealer arriva all'interno di un'immagine disco contenente un file denominato Maccy.scpt. Alle vittime viene chiesto di aprire questo file in Script Editor e premere ⌘+R per «iniziare», operazione che in realtà esegue lo script dannoso.

Una volta in esecuzione, la prima fase profila il Mac verificandone l'architettura della CPU, la lingua, il layout della tastiera e il fuso orario. Se il dispositivo sembra trovarsi in Russia, Bielorussia, Kazakistan o Paesi limitrofi, il malware smette semplicemente di funzionare.

Lo script verifica inoltre la presenza di strumenti di debug e della System Integrity Protection prima di scaricare la seconda fase, un eseguibile Mach-O scritto in Rust. Questa fase reca una firma del codice ad hoc ed è nascosta all'interno di una falsa cartella di sistema realizzata per assomigliare al Finder o a un componente di aggiornamento software.

Quali dati ruba PamStealer?

PamStealer è progettato per rubare un'ampia gamma di informazioni sensibili. Legge le credenziali di accesso direttamente attraverso il sistema PAM di macOS, senza bisogno di aprire una finestra Terminale visibile.

Il malware apre inoltre i database delle credenziali del browser con SQLite per sottrarre password salvate, cookie e dati appartenenti alle estensioni dei wallet di criptovalute. Esegue ripetutamente il comando pbpaste per monitorare e copiare qualsiasi cosa venga posta negli appunti.

Inoltre, PamStealer carica il framework Security di Apple in fase di esecuzione per estrarre dati dal Keychain, il gestore di password integrato di macOS. Se la vittima concede successivamente l'accesso completo al disco, il malware può raggiungere anche i file protetti in altre parti del sistema.

Come fa PamStealer a eludere il rilevamento?

Il malware si basa su una richiesta di autorizzazione ritardata. Anziché richiedere subito l'accesso completo al disco, può attendere fino a 40 minuti prima di mostrare la richiesta, il che rende più difficile ricollegare la richiesta al download originale.

PamStealer mostra inoltre un falso messaggio di errore in stile Gatekeeper come esca e maschera le sue richieste di autorizzazione utilizzando una finestra di avviso nativa di macOS, in modo che appaiano come una normale richiesta di sistema anziché provenire da software sconosciuto.

Secondo Jamf, il sito web falso ha persino utilizzato caratteri greci e cirillici simili, una tecnica nota come attacco omoglifo, in parti del suo contenuto per aggirare gli scanner automatizzati basati sul testo.

Persistenza e comunicazione con gli aggressori

Per rimanere installato dopo un riavvio, PamStealer si registra come elemento di login due volte, una tramite la moderna API ServiceManagement di Apple e una tramite un'interfaccia legacy più vecchia inclusa in un eseguibile helper.

I dati rubati vengono inviati a un server remoto all'indirizzo avenger-sync[.]live, instradati tramite Cloudflare e crittografati con ChaCha20-Poly1305. La configurazione del malware elenca inoltre endpoint della rete Ethereum, il che indica un interesse per il furto di criptovalute.

Riepilogo della minaccia:
Nome Virus PamStealer
Tipo Di Minaccia Malware per Mac, virus per Mac, stealer, virus per il furto di password.
Sintomi Gli stealer sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere silenziosi, e quindi nessun sintomo particolare è chiaramente visibile su una macchina infetta.
Nomi Di Rilevamento Combo Cleaner (Trojan.GenericKD.80674484), ESET-NOD32 (OSX/PSW.Agent.IY Trojan), Emsisoft (Trojan.GenericKD.80674484 (B)), Symantec (OSX.Trojan.Gen), Elenco Completo Dei Rilevamenti (VirusTotal)
Possibili Metodi Di Distribuzione Siti web falsi che impersonano software legittimi, file immagine disco (DMG) camuffati, ingegneria sociale.
Danni Password e informazioni bancarie rubate, furto di identità, criptovaluta rubata, perdita finanziaria, possibili infezioni aggiuntive.
Rimozione dei malware (Windows)

Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner.

Scarica Combo Cleaner

Lo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Conclusione

PamStealer è un malware in grado di raccogliere silenziosamente password, dati del Keychain, informazioni sui browser e sui wallet di criptovalute e contenuto degli appunti da un Mac infetto. Poiché si nasconde dietro una copia falsa di un'app reale e ritarda le sue richieste più sospette, le vittime potrebbero non accorgersi di nulla finché i loro account o fondi non sono già compromessi.

Alcuni esempi di stealer di informazioni sono ShadeStager, Infiniti e Miolab.

Come si è infiltrato PamStealer nel mio dispositivo?

PamStealer si diffonde attraverso un sito web falso, maccyapp[.]com, realizzato per assomigliare alla pagina di download di Maccy, un gestore di appunti legittimo e popolare per Mac. Il vero progetto Maccy viene distribuito solo da maccy.app, e il suo sito ufficiale avverte persino i visitatori riguardo alle pagine imitatrici.

Alle vittime che scaricano la falsa immagine disco viene chiesto di aprire un file denominato Maccy.scpt in Script Editor e di premere ⌘+R per «iniziare». Questo passaggio è ciò che in realtà esegue lo script dannoso e avvia l'infezione anziché installare l'app reale.

Al di là di questa specifica campagna, il malware per Mac viene spesso diffuso allo stesso modo: pagine di download fasulle, annunci dannosi, software crackato, falsi aggiornamenti del browser o del sistema e allegati camuffati in email e messaggi di phishing.

Come evitare il malware?

Scaricate software solo dal sito web ufficiale dello sviluppatore o dal Mac App Store, e verificate attentamente il dominio prima di fidarvi di una pagina di download, specialmente per utility più piccole e meno note.

Diffidate di qualsiasi programma di installazione che vi chieda di aprire ed eseguire manualmente uno script tramite Script Editor o Terminale. Le app legittime per Mac non hanno bisogno di questo tipo di passaggio manuale per «iniziare».

Se il vostro computer è già infetto, consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows per eliminare automaticamente tutte le minacce.

Il sito web falso (maccyapp[.]com) che distribuisce PamStealer, imitando la vera pagina di download di Maccy:

Sito web falso maccyapp.com che distribuisce il malware PamStealer

Istruzioni ingannevoli mostrate per indurre le vittime a eseguire manualmente lo script dannoso:

False istruzioni passo passo utilizzate per avviare PamStealer

Il sito web autentico di Maccy (maccy.app) che avverte i visitatori riguardo alle pagine imitatrici:

Sito web ufficiale di Maccy che avverte riguardo ai siti web falsi

Rimozione automatica istantanea dei malware:

La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:

SCARICA Combo Cleaner

Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Menu rapido:

Rimozione delle applicazioni indesiderate:

Rimuovete le applicazioni potenzialmente indesiderate dalla cartella «Applicazioni»:

Rimozione manuale di applicazioni Mac dannose

Fate clic sull'icona del Finder. Nella finestra del Finder, selezionate «Applicazioni». Nella cartella delle applicazioni, cercate «MPlayerX», «NicePlayer» o altre applicazioni sospette e trascinatele nel Cestino. Dopo aver rimosso le applicazioni potenzialmente indesiderate che causano annunci online, eseguite una scansione del vostro Mac alla ricerca di eventuali componenti indesiderati rimanenti.

SCARICA il programma di rimozione per infezioni da malware

Combo Cleaner controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Domande frequenti (FAQ)

Il mio dispositivo è infetto dal malware PamStealer, dovrei formattare il mio dispositivo di archiviazione per liberarmene?

Questo rimuoverà completamente PamStealer, ma cancellerà anche tutto ciò che è memorizzato sul dispositivo. Prima di compiere un passo così drastico, è generalmente consigliabile provare prima uno strumento anti-malware affidabile come Combo Cleaner.

Quali sono i problemi più gravi che il malware può causare?

PamStealer estrae ed esfiltra dati dai dispositivi infetti, comprese password, voci del Keychain, dati del browser e contenuto degli appunti. Infezioni di questo tipo possono portare al dirottamento di account, al furto di criptovalute, al furto di identità e ad altre perdite finanziarie.

Qual è lo scopo del malware PamStealer?

Lo scopo di PamStealer è rubare dati sensibili dai dispositivi macOS infetti, comprese le credenziali di accesso, le password del Keychain, i dati del browser e dei wallet di criptovalute e tutto ciò che viene copiato negli appunti.

Come si è infiltrato il malware PamStealer nel mio computer?

PamStealer viene distribuito attraverso un sito web falso che imita il vero gestore di appunti Maccy. Le vittime vengono guidate ad aprire uno script camuffato in Script Editor e a eseguirlo manualmente, il che installa silenziosamente il malware in background.

Combo Cleaner mi proteggerà dal malware?

Sì, Combo Cleaner è in grado di rilevare e rimuovere la maggior parte delle infezioni malware conosciute. Tenete presente che l'esecuzione di una scansione completa del sistema è essenziale, poiché malware sofisticati come PamStealer si nascondono generalmente in profondità nel sistema.

Condividi:

facebook
X (Twitter)
linkedin
copia link
Tomas Meskauskas

Tomas Meskauskas

Esperto ricercatore nel campo della sicurezza, analista professionista di malware

Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online.

▼ Mostra Discussione

Il portale di sicurezza PCrisk è offerto dalla società RCS LT.

I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.

Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.

Donazione