---
title: "«پم‌استیلر»: بدافزار پنهان‌کاری که کاربران مک را با نسخه جعلی Maccy فریب می‌دهد!"
date: 2026-07-03T15:00:07Z
modified: 2026-07-03T14:00:17Z
permalink: "https://nooshdaroo.ir/news-opinion/pamstealer-mac-malware-password-theft-data-stealer/"
type: post
status: publish
excerpt: ""
wpid: 14130
categories:
  - خبر و تحلیل
tags:
  - اپل
  - مک
author:
  - moradi
  - daniyal
featured_image: "https://nooshdaroo.ir/wp-content/uploads/2026/07/fake-maccy-threat.webp"
---

محققان امنیت سایبری بدافزار جدیدی به نام «پم‌استیلر» (PamStealer) را شناسایی کرده‌اند که با روش‌هایی پیچیده رمز عبور و اطلاعات حساس کاربران مک را به سرقت می‌برد. این بدافزار خودش را در قالب یک برنامه‌ی مدیریت کلیپ‌بورد جا زده و با تکنیک‌های پیشرفته، ردپای کمتری نسبت به بسیاری از سارق‌های اطلاعات رایج مک ایجاد می‌کند.

## سرقت در پوشش ابزارهای مک‌

بدافزار پم‌استیلر در قالب یک فایل دیسک ایمیج منتشر می‌شود که خود را شبیه برنامه Maccy (ابزاری برای مدیریت کلیپ‌بورد در مک) نشان می‌دهد؛ ابزاری که برای مدیریت کلیپ‌بورد در مک استفاده می‌شود. کاربر تصور می‌کند در حال نصب یک برنامه کاربردی معمولی است، اما در واقع با یک اسکریپت آلوده روبه‌رو می‌شود. همین اقدام ساده باعث اجرای مستقیم کدهای مخرب شده و ویژگی «قرنطینه» مک را که برای هشدار درباره فایل‌های دانلودشده از اینترنت طراحی شده، دور می‌زند.

![نوشدارو پلاس](https://nooshdaroo.ir/wp-content/themes/nooshdaroo/assets/images/nooshdaroo-plus.png)

##### نوشدارو پلاس



 محققان شرکت امنیتی Jamf می‌گویند این بدافزار به جای استفاده از دستورات رایج، از یک دانلودر خودکار جاوا اسکریپت (JXA) استفاده می‌کند. ترکیب این روش با مرحله دوم که به زبان Rust نوشته شده و اعتبارسنجی رمز عبور از طریق PAM، باعث می‌شود این بدافزار بسیار بی‌سروصداتر از سارقان اطلاعات معمول در مک عمل کند.





## پنهان‌کاری و فریب کاربر

مرحله اول بدافزار، خود را به جای اجزای واقعی سیستم‌عامل مک مثل Finder یا Software Update جا می‌زند و حتی آیکون اصلی آن‌ها را نمایش می‌دهد. مرحله دوم، یک فایل اجرایی سبک است که برای مک‌های مجهز به پردازنده‌های اپل نوشته شده است. این بدافزار همچنین می‌تواند مستقیماً فایل‌های دیتابیس (SQLite) را بخواند.

بدافزار PamStealer یک پنجره درخواست رمز عبور بومی به کاربر نشان می‌دهد که دقیقاً شبیه هشدارهای رسمی سیستم‌عامل است (با این پیام: Maccy wants to make changes). از‌آنجا‌که بررسی رمز عبور کاملاً از طریق رابط PAM انجام می‌شود، هیچ فرایند مشکوکی در سیستم اجرا نمی‌شود که نرم‌افزارهای امنیتی بتوانند آن را شناسایی کنند.

اگر کاربر رمز اشتباه وارد کند، درخواست دوباره نمایش داده می‌شود. اما به محض وارد کردن رمز درست، بدافزار برای جلوگیری از شک کردن کاربر، یک پیام خطای جعلی با مضمون «فایل خراب است و نصب نمی‌شود» نمایش می‌دهد.

##### نکته

این بدافزار برای سرقت بیشترین اطلاعات ممکن، ترفندهای دیگری هم دارد؛ از جمله اینکه درخواست «دسترسی کامل به دیسک» (Full Disk Access) را تا ۴۰ دقیقه به تأخیر می‌اندازد تا با زمان اجرای اولیه برنامه هم‌زمان نشود و کاربر را مشکوک نکند. PamStealer همچنین حاوی کدهایی برای دسترسی به حساب‌های رمزارز اتریوم است.



## کاربران مک باید چه‌کار کنند؟

- اگر برنامه‌ای را از منبع غیررسمی دانلود کرده‌اید و هنگام نصب از شما خواسته شده Script Editor را باز کنید، Command+R بزنید یا رمز مک را در پنجره‌ای مشکوک وارد کنید، باید موضوع را جدی بگیرید. برنامه‌های عادی برای نصب، معمولاً چنین مسیری را از کاربر نمی‌خواهند.
- برای کاهش خطر، برنامه‌ها را فقط از منابع رسمی، فروشگاه معتبر یا مخزن رسمی توسعه‌دهنده دانلود کنید. اگر برنامه‌ای شبیه ابزارهای معروف مک بود، نام دامنه، صفحه دانلود و امضای توسعه‌دهنده را با دقت بررسی کنید.
- همچنین به درخواست‌های «دسترسی کامل به دیسک» حساس باشید. اگر برنامه‌ای ناشناس یا تازه نصب‌شده چنین دسترسی‌ای خواست، قبل از تأیید، دقیقاً بررسی کنید چرا به این سطح از دسترسی نیاز دارد.
- اگر فکر می‌کنید رمز مک خود را در چنین پنجره‌ای وارد کرده‌اید، از یک دستگاه امن رمزهای حساب‌های مهم خود را تغییر دهید، نشست‌های فعال را بررسی کنید، کیف پول‌های رمزارزی را کنترل کنید و سیستم را با یک ابزار امنیتی معتبر بررسی کنید.



  [ ![](https://nooshdaroo.ir/wp-content/uploads/2026/06/fake-captcha-mac-malware.webp) ](https://nooshdaroo.ir/news-opinion/fake-captcha-macos-clickfix-amos-malware/) 

 

#####  [تله‌ی جدید هکرها برای کاربران مک؛ وقتی یک کپچای جعلی اطلاعات حساس را به سرقت می‌برد](https://nooshdaroo.ir/news-opinion/fake-captcha-macos-clickfix-amos-malware/) 

 

 

   [ ![](https://nooshdaroo.ir/wp-content/uploads/2026/07/apple-hide-my-email-leak.webp) ](https://nooshdaroo.ir/news-opinion/apple-hide-my-email-real-address-exposure/) 

 

#####  [آسیب‌پذیری در Hide My Email اپل، آدرس ایمیل واقعی شما را لو می‌دهد!](https://nooshdaroo.ir/news-opinion/apple-hide-my-email-real-address-exposure/)