Live News

De Indiase centrale bank herleeft de druk om banken te isoleren van crypto: rapport De Indiase centrale bank heeft er naar verluidt bij wetgevers o...

De president maakte ook bekend dat hij ruim 100 miljoen dollar in verschillende crypto’s aanhield, en een paar kleinere belangen in bedrijven als C...

De stap van Sony om fysieke gameschijven achterwege te laten, heeft misschien de reactie 'Iedereen vond dat niet leuk' in de gamewereld uitgelokt,...

06/07/26

Volg ons:

Valse Mac Klembord-app levert nieuwe malware voor het stelen van wachtwoorden

Valse Mac Klembord-app levert nieuwe malware voor het stelen van wachtwoorden
Default Door Remote - 05 Jul 2026
In het kort

Jamf Threat Labs heeft een nieuwe, op Rust gebaseerde macOS-infostealer geïdentificeerd die zich voordoet als de Maccy-klembordmanager.

De malware valideert de wachtwoorden van slachtoffers via macOS PAM voordat ze deze stelen.

Onderzoekers ontdekten ook malware in ClickFix-stijl, geleverd via een gesponsorde advertentie op X.

Mac-gebruikers die op zoek zijn naar de open-source klembordmanager Maccy worden het doelwit van een nepversie van de app die een nieuwe op Rust gebaseerde infostealer installeert genaamd PamStealer, aldus cyberbeveiligingsbedrijf Jamf Threat Labs. Als dit lukt, kan de malware de wachtwoorden en crypto-portemonneesleutels van gebruikers stelen.

In een donderdag gepubliceerd rapport zegt Jamf Threat Labs dat de campagne een lookalike-website gebruikt om een ​​schijfkopie te verspreiden die een kwaadaardig AppleScript-bestand bevat met de naam Maccy.scpt. Wanneer het bestand wordt geopend, worden instructies weergegeven waarin gebruikers worden gevraagd het uit te voeren in de Script Editor van Apple, terwijl de kwaadaardige code verderop in het document wordt verborgen.

“We volgen deze malware onder de naam PamStealer op basis van een van zijn kerngedragingen: het valideren van het inlogwachtwoord van het slachtoffer via de macOS Pluggable Authentication Modules (PAM) voordat het wordt geharvest”, schreef Jamf Threat Labs.

Van daaruit gebruikt de malware JavaScript for Automation en native macOS API's om een ​​payload in de tweede fase te downloaden zonder afhankelijk te zijn van algemene shell-hulpprogramma's zoals curl of zsh, waardoor het aantal processen dat beveiligingstools kunnen waarnemen, wordt verminderd.

"Bij veel stealers hebben we gezien dat aanvallers Google-advertentieruimte kopen om gebruikers naar de kwaadaardige app te lokken. We hebben onlangs ook gezien dat kwaadaardige advertenties op X worden gehost", zegt Jaron Bradley, directeur van Jamf Threat Labs, tegen Decrypt. “Deze social engineering-technieken zijn zeer succesvol gebleken.”

Volgens het rapport is de tweede fase een op Rust gebaseerd binair bestand, ontworpen voor Apple Silicon Macs, dat zichzelf vermomt als Finder of Software Update.

“In plaats van de configuratie in leesbare tekst op te slaan, ontleent de dropper een sleutel aan een vingerafdruk van de host – inclusief de CPU-architectuur, locale, toetsenbordindeling en tijdzone – en gebruikt deze om een ​​gecodeerde, op integriteit gecontroleerde configuratie te ontgrendelen die de payload-URL en het installatiepad bevat”, aldus het bedrijf.

Eenmaal geïnstalleerd, kan de malware browsergegevens en sleutelhangergegevens stelen, de inhoud van het klembord controleren, persistentie tot stand brengen en gestolen informatie naar een externe command-and-control-server sturen met behulp van gecodeerde communicatie. Als het niet kan verifiëren dat het zijn beoogde doel bereikt, schakelt het zichzelf stilletjes uit.

De malware probeert ook de toegang uit te breiden door een valse Finder-waarschuwing weer te geven waarin gebruikers worden gevraagd om volledige schijftoegang te verlenen. De prompt kan tot 40 minuten na infectie verschijnen, waardoor het minder waarschijnlijk is dat gebruikers deze zullen associëren met de originele download. Indien goedgekeurd, heeft de malware toegang tot beveiligde gegevens, waaronder back-ups van Mail, Berichten en Time Machine.

Volgens Bradley heeft Jamf geen enkel bewijs waargenomen dat PamStealer actief is in het wild; het bedrijf bracht Apple echter op de hoogte van zijn bevindingen. Apple reageerde niet onmiddellijk op een verzoek om commentaar van Decrypt.

Jamf zei dat soortgelijke social engineering-technieken zich naar andere platforms verspreiden. 

In een X-post vorige week zei het bedrijf dat het onderzoek deed naar een gesponsorde advertentie op X waarin reclame werd gemaakt voor DynamicLake en die gebruikers doorverwees naar dynamicmacisland[.]com, waar ze de opdracht kregen Terminal te openen en een installatiecommando uit te voeren.

“De advertentie werd geleverd via een geverifieerd X-account, wat een extra vertrouwenslaag aan de social engineering toevoegde”, schreef het bedrijf. “Analyse van de lading onthulde een recente Atomic (MacSync) Stealer-variant.”

De bevindingen komen omdat aanvallers malware steeds meer vermommen als legitieme software en misbruik maken van vertrouwde ontwikkelaarsplatforms en advertentiekanalen. Recente campagnes omvatten onder meer een nep-OpenAI-opslagplaats die de top bereikte van de trending-projecten van Hugging Face voordat een op Rust gebaseerde infostealer werd verspreid, een kwaadaardige Visual Studio Code-extensie die volgens GitHub ongeveer 3.800 interne opslagplaatsen blootlegde, en de Shai-Hulud-softwaretoeleveringsketencampagne gericht op ontwikkelingstools die worden gebruikt door AI-bedrijven, waaronder OpenAI en Mistral AI.

Dagelijkse debriefing NieuwsbriefBegin elke dag met de belangrijkste nieuwsverhalen van dit moment, plus originele artikelen, een podcast, video's en meer. Uw e-mail Download het! Download het!