Doe een gratis scan en controleer of uw computer is geïnfecteerd.
VERWIJDER HET NUOm het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.
Wat voor soort malware is PamStealer?
PamStealer is een tweefasen-informatiestealer die zich richt op macOS-gebruikers. Volgens onderzoek gepubliceerd door Jamf Threat Labs vermomt de malware zich als Maccy, een echte open-source clipboardmanager, om slachtoffers te misleiden zodat ze het zelf uitvoeren.
De eerste fase is een gecompileerd AppleScript dat een tweede, op Rust gebaseerde payload downloadt. Als PamStealer op een Mac wordt aangetroffen, moet het onmiddellijk worden verwijderd.

PamStealer overzicht
Onderzoekers van Jamf ontdekten dat PamStealer binnenkomt in een schijfkopie die een bestand met de naam Maccy.scpt bevat. Slachtoffers krijgen te horen dat ze dit bestand in Script Editor moeten openen en op ⌘+R moeten drukken om "aan de slag te gaan", waardoor in werkelijkheid het kwaadaardige script wordt uitgevoerd.
Zodra het draait, brengt de eerste fase de Mac in kaart door de CPU-architectuur, taal, toetsenbordindeling en tijdzone te controleren. Als het apparaat zich in Rusland, Wit-Rusland, Kazachstan of een nabijgelegen land lijkt te bevinden, stopt de malware simpelweg met draaien.
Het script controleert ook op debugtools en System Integrity Protection voordat het de tweede fase downloadt, een Mach-O uitvoerbaar bestand geschreven in Rust. Deze fase draagt een ad hoc codehandtekening en is verborgen in een nepsysteemmap die op Finder of een Software Update-component lijkt.
Welke gegevens steelt PamStealer?
PamStealer is gebouwd om een breed scala aan gevoelige informatie te stelen. Het leest inloggegevens rechtstreeks via het PAM-systeem van macOS, zonder dat er een zichtbaar Terminal-venster hoeft te worden geopend.
De malware opent ook browserdatabases met inloggegevens via SQLite om opgeslagen wachtwoorden, cookies en gegevens van cryptocurrency-wallet-extensies te bemachtigen. Het voert herhaaldelijk het commando pbpaste uit om alles wat op het klembord wordt geplaatst te monitoren en te kopiëren.
Daarnaast laadt PamStealer tijdens runtime het Security framework van Apple om gegevens uit de Keychain, de ingebouwde wachtwoordbeheerder van macOS, te halen. Als het slachtoffer later Volledige Schijftoegang verleent, kan de malware ook beschermde bestanden elders op het systeem bereiken.
Hoe ontwijkt PamStealer detectie?
De malware vertrouwt op een uitgestelde toestemmingsaanvraag. In plaats van meteen om Volledige Schijftoegang te vragen, kan het tot 40 minuten wachten voordat het de prompt toont, waardoor het moeilijker wordt om de aanvraag terug te koppelen aan de oorspronkelijke download.
PamStealer toont ook een neppe Gatekeeper-achtige foutmelding als afleiding, en het vermomt zijn autorisatieprompts via een native macOS-waarschuwingsvenster zodat ze eruitzien als een normaal systeemverzoek in plaats van een verzoek afkomstig van onbekende software.
Volgens Jamf gebruikte de nepwebsite in delen van zijn inhoud zelfs Griekse en Cyrillische lookalike-tekens, een techniek die bekendstaat als een homoglief-aanval, om langs geautomatiseerde tekstgebaseerde scanners te glippen.
Persistentie en communicatie met aanvallers
Om na een herstart geïnstalleerd te blijven, registreert PamStealer zichzelf tweemaal als inlogitem, één keer via de moderne ServiceManagement API van Apple en één keer via een oudere, verouderde interface die is gebundeld in een helper-uitvoerbaar bestand.
Gestolen gegevens worden verzonden naar een externe server op avenger-sync[.]live, gerouteerd via Cloudflare en versleuteld met ChaCha20-Poly1305. De configuratie van de malware vermeldt ook Ethereum-netwerkeindpunten, wat wijst op interesse in cryptocurrency-diefstal.
| Naam | PamStealer-virus |
| Type Bedreiging | Mac-malware, Mac-virus, stealer, wachtwoordstelend virus. |
| Symptomen | Stealers zijn ontworpen om heimelijk de computer van het slachtoffer binnen te dringen en stil te blijven, waardoor er geen bijzondere symptomen duidelijk zichtbaar zijn op een geïnfecteerde machine. |
| Detectienamen | Combo Cleaner (Trojan.GenericKD.80674484), ESET-NOD32 (OSX/PSW.Agent.IY Trojan), Emsisoft (Trojan.GenericKD.80674484 (B)), Symantec (OSX.Trojan.Gen), Volledige Lijst Met Detecties (VirusTotal) |
| Mogelijke Distributiemethoden | Nepwebsites die legitieme software nabootsen, vermomde schijfkopie (DMG)-bestanden, social engineering. |
| Schade | Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, gestolen cryptocurrency, financieel verlies, mogelijke aanvullende infecties. |
| Malware verwijderen (Windows) |
Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. Combo Cleaner voor Windows DownloadenGratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk. |
Conclusie
PamStealer is malware die in stilte wachtwoorden, Keychain-gegevens, browser- en cryptocurrency-walletinformatie en klembordinhoud van een geïnfecteerde Mac kan verzamelen. Omdat het zich verbergt achter een nepkopie van een echte app en zijn meest verdachte verzoeken uitstelt, merken slachtoffers mogelijk pas iets op wanneer hun accounts of tegoeden al zijn gecompromitteerd.
Enkele voorbeelden van informatiestealers zijn ShadeStager, Infiniti en Miolab.
Hoe is PamStealer op mijn apparaat terechtgekomen?
PamStealer verspreidt zich via een nepwebsite, maccyapp[.]com, gemaakt om eruit te zien als de downloadpagina voor Maccy, een legitieme en populaire klembordbeheerder voor Mac. Het echte Maccy-project wordt alleen gedistribueerd vanaf maccy.app, en de officiële site waarschuwt bezoekers zelfs voor nagemaakte pagina's.
Slachtoffers die de nepschijfkopie downloaden, krijgen te horen dat ze een bestand met de naam Maccy.scpt in Script Editor moeten openen en op ⌘+R moeten drukken om "aan de slag te gaan." Die stap is wat het kwaadaardige script daadwerkelijk uitvoert en de infectie start in plaats van de echte app te installeren.
Naast deze specifieke campagne wordt Mac-malware vaak op dezelfde manier verspreid: valse downloadpagina's, kwaadaardige advertenties, gekraakte software, valse browser- of systeemupdates en vermomde bijlagen in phishing-e-mails en -berichten.
Hoe malware vermijden?
Download alleen software van de officiële website van de ontwikkelaar of de Mac App Store, en controleer het domein grondig voordat u een downloadpagina vertrouwt, vooral voor kleinere, minder bekende hulpprogramma's.
Wees op uw hoede voor elk installatieprogramma dat u vraagt om een script te openen en handmatig uit te voeren via Script Editor of Terminal. Legitieme Mac-apps hebben dit soort handmatige stappen niet nodig om "aan de slag te gaan."
Als uw computer al is geïnfecteerd, raden we aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om alle bedreigingen automatisch te elimineren.
De nepwebsite (maccyapp[.]com) die PamStealer verspreidt, een imitatie van de echte Maccy-downloadpagina:

Misleidende instructies die aan slachtoffers worden getoond om hen te verleiden het kwaadaardige script handmatig uit te voeren:

De echte Maccy-website (maccy.app) die bezoekers waarschuwt voor nagemaakte pagina's:

Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
DOWNLOAD Combo CleanerDoor het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.
Snelmenu:
Verwijdering van ongewenste applicaties:
Verwijder potentieel ongewenste applicaties uit uw "Applicaties"-map:

Klik op het Finder-pictogram. Selecteer in het Finder-venster "Applicaties". Zoek in de map met applicaties naar "MPlayerX","NicePlayer" of andere verdachte applicaties en sleep ze naar de Prullenmand. Nadat u de potentieel ongewenste applicatie(s) die online advertenties veroorzaken heeft verwijderd, scant u uw Mac op eventuele resterende ongewenste componenten.
DOWNLOAD verwijderprogramma voor malware-infecties
Combo Cleaner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.
Veelgestelde vragen (FAQ)
Mijn apparaat is geïnfecteerd met PamStealer-malware, moet ik mijn opslagapparaat formatteren om ervan af te komen?
Dit verwijdert PamStealer volledig, maar het wist ook alles wat op het apparaat is opgeslagen. Voordat u zo'n drastische stap zet, wordt over het algemeen aangeraden om eerst een betrouwbare anti-malwaretool zoals Combo Cleaner te proberen.
Wat zijn de grootste problemen die malware kan veroorzaken?
PamStealer extraheert en exfiltreert gegevens van geïnfecteerde apparaten, waaronder wachtwoorden, Keychain-vermeldingen, browsergegevens en klembordinhoud. Infecties van dit soort kunnen leiden tot accountkaping, gestolen cryptocurrency, identiteitsdiefstal en andere financiële verliezen.
Wat is het doel van PamStealer-malware?
Het doel van PamStealer is het stelen van gevoelige gegevens van geïnfecteerde macOS-apparaten, waaronder inloggegevens, Keychain-wachtwoorden, browser- en cryptocurrency-walletgegevens, en alles wat naar het klembord is gekopieerd.
Hoe is PamStealer-malware op mijn computer terechtgekomen?
PamStealer wordt verspreid via een nepwebsite die de echte Maccy-klembordbeheerder imiteert. Slachtoffers worden begeleid om een vermomd script in Script Editor te openen en het handmatig uit te voeren, waardoor de malware stilletjes op de achtergrond wordt geïnstalleerd.
Zal Combo Cleaner mij beschermen tegen malware?
Ja, Combo Cleaner kan de meeste bekende malware-infecties detecteren en verwijderen. Houd er rekening mee dat het uitvoeren van een volledige systeemscan essentieel is, aangezien geavanceerde malware zoals PamStealer zich doorgaans diep in het systeem verbergt.
Delen:
Tomas Meskauskas
Deskundig beveiligingsonderzoeker, professioneel malware-analist
Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's.
Het beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
DonerenHet beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
Doneren
▼ Toon discussie