Como remover o malware PamStealer (Mac)

Vírus Mac

Também conhecido como: vírus PamStealer

Nível de danos:

Faça uma verificação gratuita e verifique se o seu computador está infectado.

REMOVER AGORA

Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.

Que tipo de malware é o PamStealer?

O PamStealer é um stealer de informações em duas fases que tem como alvo utilizadores de macOS. De acordo com a investigação publicada pela Jamf Threat Labs, o malware disfarça-se de Maccy, um verdadeiro gestor de área de transferência de código aberto, para enganar as vítimas e levá-las a executá-lo por conta própria.

A primeira fase é um AppleScript compilado que descarrega uma segunda payload baseada em Rust. Se o PamStealer for encontrado num Mac, deve ser removido de imediato.

Website falso usado para distribuir o malware PamStealer

Visão geral do PamStealer

Os investigadores da Jamf descobriram que o PamStealer chega dentro de uma imagem de disco que contém um ficheiro chamado Maccy.scpt. As vítimas são instruídas a abrir este ficheiro no Editor de Scripts e a premir ⌘+R para "começar", o que na verdade executa o script malicioso.

Uma vez em execução, a primeira fase caracteriza o Mac, verificando a sua arquitetura de CPU, o idioma, o esquema de teclado e o fuso horário. Se o dispositivo parecer estar localizado na Rússia, Bielorrússia, Cazaquistão ou países vizinhos, o malware simplesmente para de funcionar.

O script também procura ferramentas de depuração e o System Integrity Protection antes de descarregar a segunda fase, um executável Mach-O escrito em Rust. Esta fase apresenta uma assinatura de código ad hoc e está escondida dentro de uma pasta de sistema falsa, feita para se assemelhar ao Finder ou a um componente de Atualização de Software.

Que dados o PamStealer rouba?

O PamStealer foi concebido para roubar uma vasta gama de informações sensíveis. Lê as credenciais de início de sessão diretamente através do sistema PAM do macOS, sem necessidade de abrir uma janela de Terminal visível.

O malware também abre as bases de dados de credenciais do navegador com o SQLite para capturar palavras-passe guardadas, cookies e dados pertencentes a extensões de carteiras de criptomoedas. Executa repetidamente o comando pbpaste para monitorizar e copiar tudo o que for colocado na área de transferência.

Além disso, o PamStealer carrega a estrutura de Segurança da Apple em tempo de execução para extrair dados do Keychain, o gestor de palavras-passe integrado do macOS. Se a vítima conceder posteriormente o Acesso Total ao Disco, o malware pode também alcançar ficheiros protegidos noutros locais do sistema.

Como é que o PamStealer evita a deteção?

O malware baseia-se num pedido de permissão adiado. Em vez de solicitar o Acesso Total ao Disco de imediato, pode esperar até 40 minutos antes de mostrar o pedido, o que dificulta a ligação do pedido ao descarregamento original.

O PamStealer também exibe uma mensagem de erro falsa ao estilo do Gatekeeper como isco e disfarça os seus pedidos de autorização utilizando uma janela de alerta nativa do macOS, para que pareçam um pedido normal do sistema, em vez de um proveniente de software desconhecido.

De acordo com a Jamf, o website falso utilizou mesmo caracteres gregos e cirílicos semelhantes, uma técnica conhecida como ataque de homoglifos, em partes do seu conteúdo, para escapar aos scanners automatizados baseados em texto.

Persistência e comunicação com os atacantes

Para permanecer instalado após uma reinicialização, o PamStealer regista-se como item de início de sessão duas vezes, uma através da API moderna ServiceManagement da Apple e outra através de uma interface mais antiga e legada, incluída num executável auxiliar.

Os dados roubados são enviados para um servidor remoto em avenger-sync[.]live, encaminhados através da Cloudflare e encriptados com ChaCha20-Poly1305. A configuração do malware também lista endpoints da rede Ethereum, apontando para um interesse no roubo de criptomoedas.

Resumo da Ameaça:
Nome vírus PamStealer
Tipo De Ameaça Malware para Mac, vírus para Mac, stealer, vírus de roubo de palavras-passe.
Sintomas Os stealers são concebidos para se infiltrarem furtivamente no computador da vítima e permanecerem silenciosos, pelo que nenhum sintoma específico é claramente visível numa máquina infetada.
Nomes De Deteção Combo Cleaner (Trojan.GenericKD.80674484), ESET-NOD32 (OSX/PSW.Agent.IY Trojan), Emsisoft (Trojan.GenericKD.80674484 (B)), Symantec (OSX.Trojan.Gen), Lista Completa De Deteções (VirusTotal)
Possíveis Métodos De Distribuição Websites falsos que se fazem passar por software legítimo, ficheiros de imagem de disco (DMG) disfarçados, engenharia social.
Danos Palavras-passe e informações bancárias roubadas, roubo de identidade, criptomoedas roubadas, perdas financeiras, possíveis infeções adicionais.
Remoção do Malware (Windows)

Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner.

Descarregar Combo Cleaner

O verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.

Conclusão

O PamStealer é um malware que pode recolher discretamente palavras-passe, dados do Keychain, informações de navegadores e de carteiras de criptomoedas, e conteúdo da área de transferência de um Mac infetado. Como se esconde por trás de uma cópia falsa de uma aplicação real e adia os seus pedidos mais suspeitos, as vítimas podem não notar nada de errado até que as suas contas ou fundos já estejam comprometidos.

Alguns exemplos de stealers de informações são o ShadeStager, o Infiniti e o Miolab.

Como é que o PamStealer se infiltrou no meu dispositivo?

O PamStealer propaga-se através de um website falso, maccyapp[.]com, feito para parecer a página de descarregamento do Maccy, um gestor de área de transferência legítimo e popular para Mac. O verdadeiro projeto Maccy é distribuído apenas a partir de maccy.app, e o seu site oficial até avisa os visitantes sobre páginas imitadoras.

As vítimas que descarregam a imagem de disco falsa são instruídas a abrir um ficheiro chamado Maccy.scpt no Editor de Scripts e a premir ⌘+R para "começar". Esse passo é o que na verdade executa o script malicioso e inicia a infeção, em vez de instalar a aplicação real.

Para além desta campanha específica, o malware para Mac é frequentemente propagado da mesma forma: páginas de descarregamento falsas, anúncios maliciosos, software pirateado, atualizações falsas de navegadores ou de sistema, e anexos disfarçados em e-mails e mensagens de phishing.

Como evitar o malware?

Descarregue software apenas a partir do website oficial do programador ou da Mac App Store, e verifique duas vezes o domínio antes de confiar numa página de descarregamento, especialmente no caso de utilitários mais pequenos e menos conhecidos.

Desconfie de qualquer instalador que lhe peça para abrir e executar manualmente um script através do Editor de Scripts ou do Terminal. As aplicações legítimas para Mac não precisam deste tipo de passo manual para "começar".

Se o seu computador já estiver infetado, recomendamos a execução de uma análise com o Combo Cleaner Antivirus para Windows para eliminar automaticamente todas as ameaças.

O website falso (maccyapp[.]com) que distribui o PamStealer, imitando a verdadeira página de descarregamento do Maccy:

Website falso maccyapp.com a distribuir o malware PamStealer

Instruções enganosas mostradas para induzir as vítimas a executar manualmente o script malicioso:

Instruções falsas passo a passo usadas para lançar o PamStealer

O website genuíno do Maccy (maccy.app) a avisar os visitantes sobre páginas imitadoras:

Website oficial do Maccy a avisar sobre websites falsos

Remoção automática instantânea do malware:

A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:

DESCARREGAR Combo Cleaner

Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.

Menu rápido:

Remoção de aplicações indesejadas:

Remova as aplicações potencialmente indesejadas da sua pasta "Aplicações":

Remoção manual de aplicações Mac maliciosas

Clique no ícone do Finder. Na janela do Finder, selecione "Aplicações". Na pasta de aplicações, procure "MPlayerX", "NicePlayer", ou outras aplicações suspeitas e arraste-as para o Lixo. Depois de remover a(s) aplicação(ões) potencialmente indesejada(s) que causa(m) anúncios online, analise o seu Mac em busca de quaisquer componentes indesejados remanescentes.

DESCARREGAR removedor de infeções por malware

Combo Cleaner faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.

Perguntas Frequentes (FAQ)

O meu dispositivo está infetado com o malware PamStealer, devo formatar o meu dispositivo de armazenamento para me livrar dele?

Isto removerá completamente o PamStealer, mas também apagará tudo o que está armazenado no dispositivo. Antes de tomar uma medida tão drástica, é geralmente recomendável experimentar primeiro uma ferramenta anti-malware fiável como o Combo Cleaner.

Quais são os maiores problemas que o malware pode causar?

O PamStealer extrai e exfiltra dados de dispositivos infetados, incluindo palavras-passe, entradas do Keychain, dados de navegadores e conteúdo da área de transferência. Infeções deste tipo podem levar ao sequestro de contas, roubo de criptomoedas, roubo de identidade e outras perdas financeiras.

Qual é o objetivo do malware PamStealer?

O objetivo do PamStealer é roubar dados sensíveis de dispositivos macOS infetados, incluindo credenciais de início de sessão, palavras-passe do Keychain, dados de navegadores e de carteiras de criptomoedas, e tudo o que for copiado para a área de transferência.

Como é que o malware PamStealer se infiltrou no meu computador?

O PamStealer é distribuído através de um website falso que imita o verdadeiro gestor de área de transferência Maccy. As vítimas são guiadas a abrir um script disfarçado no Editor de Scripts e a executá-lo manualmente, o que instala silenciosamente o malware em segundo plano.

O Combo Cleaner protege-me do malware?

Sim, o Combo Cleaner pode detetar e remover a maioria das infeções de malware conhecidas. Tenha em mente que a execução de uma análise completa do sistema é essencial, uma vez que malware sofisticado como o PamStealer normalmente se esconde nas profundezas do sistema.

Partilhar:

facebook
X (Twitter)
linkedin
copiar link
Tomas Meskauskas

Tomas Meskauskas

Pesquisador especialista em segurança, analista profissional de malware

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line.

▼ Mostrar comentários

O portal de segurança PCrisk é fornecido pela empresa RCS LT.

Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Doar