Introducción
Durante años, los equipos macOS en entornos corporativos fueron considerados un objetivo secundario para el cibercrimen organizado. El descubrimiento de PamStealer por parte de los investigadores de Jamf Threat Labs marca un punto de inflexión claro: los infostealers dirigidos a macOS ya no se limitan a imitar a sus equivalentes en Windows. Hoy desarrollan técnicas propias del ecosistema Apple, más sigilosas y considerablemente más difíciles de neutralizar.
Una infección en dos etapas diseñada para burlar las defensas
PamStealer se distribuye haciéndose pasar por Maccy, un gestor de portapapeles open source legítimo y ampliamente utilizado en macOS. La víctima descarga una imagen de disco desde un dominio typosquatting y encuentra en su interior un archivo AppleScript compilado. Este dropper discreto descarga a continuación un segundo componente: un binario Mach-O escrito en Rust, responsable del robo de datos propiamente dicho.
La elección de Rust no es casual. Este lenguaje produce binarios compactos que resultan difíciles de analizar de forma estática, y cuyas firmas no siempre activan las alertas de las herramientas de seguridad tradicionales.
Validar la contraseña antes de exfiltrarla
La técnica más destacada de PamStealer tiene que ver con la gestión de credenciales. Tras mostrar un cuadro de diálogo de autenticación falso —visualmente indistinguible de las ventanas nativas del sistema Apple— el malware no transmite de inmediato la contraseña introducida. Primero la valida localmente llamando a la API PAM (Pluggable Authentication Modules) de macOS, sin lanzar procesos externos ni recurrir a utilidades del sistema detectables. Solo las credenciales confirmadas como válidas son posteriormente exfiltradas hacia la infraestructura del atacante.
Más allá de la contraseña de sesión, el malware extrae las bases de datos de los navegadores, los secretos del Keychain, los datos de carteras de criptomonedas y el contenido del portapapeles, capturado de forma periódica mediante la utilidad pbpaste.
Múltiples capas de evasión cuidadosamente combinadas
PamStealer emplea varios mecanismos para permanecer invisible. El texto de la interfaz fraudulenta incorpora homoglifos —caracteres cirílicos o griegos visualmente idénticos a las letras latinas— para eludir las detecciones basadas en cadenas de texto. La configuración del malware está cifrada y solo se desbloquea a partir de una huella del equipo anfitrión (arquitectura de CPU, idioma del sistema, distribución del teclado, zona horaria), lo que hace que el análisis fuera de contexto resulte poco concluyente.
El componente Rust carga Security.framework de forma dinámica en tiempo de ejecución, en lugar de vincularlo de manera estática, ocultando así sus capacidades ante los análisis de binarios convencionales. La aplicación también detecta entornos de análisis y verifica el estado de System Integrity Protection antes de actuar. Las zonas horarias rusas y los países de la CEI quedan excluidos automáticamente, práctica habitual entre los grupos que buscan evitar la atención de las autoridades locales.
Lo que los equipos de TI deben tener en cuenta
PamStealer no surge de la nada. Los infostealers representan hoy la principal categoría de nuevos malwares dirigidos a macOS, con un incremento de más del 100 % registrado en los últimos trimestres de 2024. Familias como AMOS (Atomic macOS Stealer) se comercializan como servicios llave en mano en canales privados, accesibles desde unos pocos miles de dólares al mes.
Para los CIO y CISO que gestionan flotas de dispositivos macOS, este malware ilustra una realidad concreta: la reputación de seguridad de la plataforma Apple ya no exime de una gestión rigurosa de los endpoints. Detectar estas amenazas requiere visibilidad comportamental —monitorización de llamadas de autenticación inusuales, procesos lanzados sin interfaz visible, conexiones salientes hacia dominios desconocidos— que las herramientas antivirus convencionales raramente garantizan por sí solas.
La pregunta ya no es si los Mac corporativos serán el objetivo, sino con qué precisión y rapidez los equipos serán capaces de responder.

