Espionagem e controle da inteligência artificial ditam os rumos globais em 2026
Da vigilância cibernética na Europa aos cortes de custos em IA e invasões aéreas nos EUA: confira a análise completa das tensões tecnológicas mundiais.
Descubra como o PamStealer usa AppleScript, JXA e o framework PAM para roubar senhas no macOS de forma extremamente silenciosa.
Em uma descoberta que acende o alerta para administradores de sistemas e usuários de computadores da Apple, analistas de segurança identificaram uma nova e sofisticada ameaça direcionada especificamente ao ecossistema da maçã. Conforme revelado pelo jornalista sênior de segurança Dan Goodin no portal Ars Technica, o malware inédito, batizado de PamStealer, utiliza um conjunto altamente coordenado de táticas para infectar Macs e roubar credenciais de login. Descoberta por pesquisadores da renomada firma de segurança cibernética Jamf, a ameaça se destaca por abandonar os métodos barulhentos de infecção tradicionais e adotar uma cadeia de execução silenciosa baseada em recursos nativos do sistema operacional.

O vetor inicial de distribuição do PamStealer baseia-se em engenharia social refinada e na falsificação de softwares legítimos. O malware é entregue em uma imagem de disco que se passa pelo Maccy, um gerenciador de área de transferência de código aberto amplamente utilizado por desenvolvedores e profissionais de tecnologia no macOS. Em vez de empacotar um executável convencional, a primeira fase da ameaça é compilada como um arquivo de AppleScript, que serve de plataforma de lançamento para a segunda fase do ataque. O nome do malware deriva de sua capacidade de usar a interface nativa de Módulos de Autenticação Pluggable (PAM, ou Pluggable Authentication Modules) do macOS para validar as credenciais das vítimas localmente antes de enviá-las para os servidores dos atacantes.
De acordo com o relatório da Jamf, o uso combinado de imagens de disco e scripts automatizados é uma tática recorrente no cenário de ameaças para macOS. No entanto, o que torna o PamStealer um caso singular na indústria de segurança digital é a maneira como ele combina esses elementos para operar abaixo do radar de ferramentas tradicionais de detecção. O artigo original de Dan Goodin no Ars Technica ressalta que o design desse malware representa uma evolução significativa na sofisticação técnica de ladrões de informações (infostealers) voltados para sistemas operacionais Unix da Apple, exigindo novas abordagens de monitoramento e resposta a incidentes.
A engenharia de infecção do PamStealer começa com a interação do usuário com a imagem de disco falsa do Maccy. Ao abrir o arquivo baixado, a vítima é induzida a pressionar o atalho de teclado Command-R imediatamente após clicar duas vezes no ícone de instalação. Essa ação aparentemente inofensiva aciona a execução do código malicioso embutido diretamente dentro do Script Editor (Editor de Scripts), o utilitário padrão do macOS usado para criar e depurar scripts de automação do sistema.
Ao forçar a abertura e execução do arquivo pelo Script Editor por meio do atalho de teclado Command-R, os atacantes conseguem ocultar a lógica maliciosa em partes profundas do código do script. A execução direta através de uma ferramenta nativa e confiável do sistema operacional permite que o PamStealer realize ações administrativas sem acionar os mesmos alertas visuais de segurança que seriam gerados caso um binário não assinado fosse executado diretamente a partir de um clique duplo tradicional no Finder.
O aspecto mais crítico desse método de execução inicial é a sua capacidade de contornar de forma limpa o atributo com.apple.quarantine. Esse metadado é anexado automaticamente pelo macOS a qualquer arquivo baixado da internet, servindo como o gatilho principal para o Gatekeeper analisar e potencialmente bloquear softwares desconhecidos. Ao transferir o fluxo de execução para dentro do ambiente controlado do Script Editor, o malware neutraliza esse mecanismo de defesa nativo, executando o primeiro estágio do ataque sem levantar suspeitas do sistema de proteção integrado da Apple.
Uma vez ativo no sistema através do Editor de Scripts, o primeiro estágio do PamStealer implementa um mecanismo de download que evita deliberadamente a ativação de ferramentas de monitoramento de linha de comando. Em vez de recorrer a comandos de shell Unix tradicionais e ruidosos, como curl ou o interpretador de comandos zsh — que são frequentemente vigiados de perto por sistemas de detecção e resposta de endpoint (EDR) —, o script executa uma rotina autocontida baseada em JavaScript for Automation (JXA).
Os pesquisadores de segurança da empresa Jamf explicaram em detalhes como essa arquitetura híbrida de execução permite que o malware permaneça indetectável durante a transferência de arquivos adicionais da internet:
“Rather than relying on shell commands such as curl or zsh, the AppleScript executes a self-contained JavaScript for Automation (JXA) downloader that retrieves and stages the payload using native Objective-C APIs. Combined with a Rust-based second stage and a password capture workflow that validates credentials locally through PAM, the result is a quieter execution chain than we typically observe in commodity macOS stealers.”
A utilização do JXA pelo malware permite que ele interaja diretamente com as APIs nativas de Objective-C integradas ao macOS. Como o JavaScript for Automation possui pontes nativas com o ecossistema Cocoa da Apple, o downloader malicioso consegue realizar chamadas de sistema legítimas de baixo nível para baixar e preparar o payload de segunda fase. O resultado técnico dessa técnica é a eliminação de subprocessos externos atípicos na árvore de processos do sistema, o que confunde ferramentas de antivírus baseadas em assinaturas de comportamento de terminal.
Após a conclusão bem-sucedida do download da primeira fase, entra em cena o payload principal do PamStealer, que foi totalmente programado na linguagem de programação moderna Rust. O uso de Rust oferece aos atacantes um binário altamente eficiente, de difícil engenharia reversa e extremamente estável sob diferentes versões do macOS. Esse binário em segunda fase é o responsável por executar o inovador fluxo de captura e roubo de credenciais do usuário do Mac.
O coração operacional do malware reside na exploração da interface de Módulos de Autenticação Pluggable (PAM) integrada nativamente ao macOS. O PAM é o padrão utilizado por sistemas baseados em Unix para realizar tarefas de verificação de identidade, como a tela de login inicial ou a validação de privilégios de superusuário no terminal. Ao interagir com as APIs do PAM, o PamStealer consegue capturar as tentativas de digitação de senha do usuário e realizar uma validação local em tempo real no próprio computador da vítima antes de prosseguir com o ataque.
Esse fluxo de validação local via PAM traz vantagens estratégicas imensas para o operador da campanha maliciosa. Diferente de outros softwares espiões comuns, que capturam qualquer digitação incorreta e enviam pacotes de dados desnecessários pela rede, o PamStealer apenas exfiltra credenciais após confirmar localmente que a senha inserida é 100% válida. Isso reduz consideravelmente o volume de conexões suspeitas e impede que defensores de segurança identifiquem a infecção por meio de picos anômalos de tráfego de rede direcionados a servidores externos de comando e controle (C2).
O esforço de engenharia empregado no desenvolvimento do PamStealer não se restringe apenas à captura furtiva de dados, mas estende-se também à sua persistência e capacidade de camuflagem dentro do sistema de arquivos do macOS. O payload de segunda fase do malware é empacotado em uma estrutura de pasta de aplicativo (app bundle) configurada para imitar detalhadamente componentes de sistema oficiais da Apple. Os pesquisadores da Jamf observaram que a identidade do componente de disfarce varia de amostra para amostra do malware.
Em algumas das variantes analisadas, o aplicativo malicioso instala-se como uma cópia fraudulenta do próprio gerenciador de arquivos do sistema, operando sob o nome de Finder.app localizado em caminhos obscuros do sistema, como com.apple.finder.core ou com.apple.finder.monitor. Em outras campanhas identificadas pela empresa de segurança, o malware assume a identidade do assistente de atualizações da Apple, instalando-se sob a alcunha de Software Update.app e residindo no diretório com.apple.security.daemon. Independentemente do disfarce escolhido, ambos os processos são configurados para rodar de forma completamente invisível ao usuário.
Para reforçar a farsa visual, o malware faz uso do ícone oficial do Finder do macOS, referenciado internamente como o arquivo Finder.icns, garantindo que qualquer visualização rápida em ferramentas de monitoramento de processos mostre um elemento gráfico legítimo do sistema. Além disso, a comunicação com a rede externa é totalmente protegida: o tráfego gerado para os servidores de comando e controle (C2) dos criminosos é rigorosamente criptografado, impedindo que sistemas de detecção baseados em inspeção de pacotes revelem as senhas de login que estão sendo exfiltradas em texto claro.
Outro detalhe técnico notável documentado pela Jamf é o gerenciamento temporal do comportamento do malware para evitar correlações de causa e efeito na análise forense. Quando o PamStealer precisa solicitar permissões sensíveis ao sistema operacional, como o privilégio de Acesso Total ao Disco (Full Disk Access), ele insere um atraso deliberado de até 40 minutos antes de exibir o alerta de requisição na tela do usuário. Essa janela de tempo impede que a vítima faça a associação mental direta entre o alerta invasivo de permissão e a instalação ou abertura recente do falso instalador do Maccy.
Em seu relatório detalhado, a equipe de especialistas da Jamf destacou o papel que o PamStealer desempenha na evolução geral dos métodos de ataque contra a plataforma da Apple:
“PamStealer combines a recently emerging delivery surface with a less familiar payload. While the clickable .scpt and Script Editor lure build on tradecraft that is already gaining adoption across the macOS threat landscape, the malware distinguishes itself through a self-contained JXA dropper, a Rust-based second stage, and a password capture workflow that validates credentials locally through PAM before harvesting them. That second stage puts considerable effort into staying hidden, masquerading as Finder, encrypting its command-and-control traffic, and holding back prompts like the Full Disk Access request for as long as forty minutes so its activity does not line up with launch. Together, these behaviors illustrate how commodity macOS stealers continue to evolve, adopting quieter execution chains and native implementations that reduce traditional detection opportunities while remaining compatible with standard macOS features.”
A análise conclusiva dos analistas de segurança aponta para um cenário desafiador. Ao se misturar perfeitamente com recursos padrão do sistema operacional, como o PAM, o Script Editor e as APIs de Objective-C, ameaças de prateleira voltadas para o macOS estão se tornando ferramentas de espionagem de alta precisão. Para administradores de redes corporativas e equipes de segurança digital, mitigar riscos associados ao PamStealer exige ir muito além das tradicionais assinaturas de arquivos nocivos, exigindo visibilidade profunda sobre a execução de scripts nativos de automação e sobre as cadeias locais de autenticação.
Da vigilância cibernética na Europa aos cortes de custos em IA e invasões aéreas nos EUA: confira a análise completa das tensões tecnológicas mundiais.
Nova técnica de invasão explota falha estrutural em navegadores com IA integrados para contornar proteções e expor credenciais dos usuários.
A administração Trump flexibilizou o banimento do Claude Mythos 5, permitindo que mais de 100 agências e empresas acessem o modelo de segurança da Anthropic.