PANews 7월 6일 소식, Decrypt 보도에 따르면 사이버 보안 기업 Jamf Threat Labs가 PamStealer라는 새로운 Mac 정보 탈취 악성코드를 발견했다. 이 악성코드는 오픈소스 클립보드 관리자 Maccy의 가짜 버전으로 위장해 유포된다. 이 악성코드는 모방 사이트를 통해 사용자가 악성 코드가 포함된 AppleScript 파일을 실행하도록 유도하며, macOS 플러그인 인증 모듈을 통해 사용자 비밀번호를 확인하고 탈취한다.
보안 도구 탐지를 회피하기 위해 PamStealer는 JavaScript와 macOS API로 2단계 페이로드를 다운로드한다. 2단계는 Rust 기반 바이너리 파일로, Finder 또는 Software Update로 위장하며 브라우저 자격 증명과 키체인 데이터를 탈취하고, 클립보드 내용을 감시하며 지속성을 확보한다. 감염 후 40분이 지나면 가짜 Finder 경고를 띄워 전체 디스크 접근 권한을 부여하도록 유도해 접근 범위를 확대한다. Jamf는 아직 이 악성코드가 실제로 유포된 증거를 발견하지 못했으나, 애플에 이미 통보했다. 연구진은 X 플랫폼에서 인증 계정을 통해 집행된 스폰서 광고로 유사한 악성코드가 유포되고 있는 정황도 추가로 발견했다.


