Les utilisateurs de Mac ont souvent la réputation d’être un peu mieux protégés contre les logiciels malveillants. Pourtant, les cybercriminels continuent d’imaginer de nouvelles méthodes pour contourner les défenses d’Apple.
C’est précisément le cas de PamStealer, un nouveau malware découvert par les chercheurs de Jamf. Il ne ressemble pas aux voleurs de données classiques visant macOS.
Comment PamStealer coordonne son attaque sur MacOS ?
L’attaque se déroule en deux étapes. La première arrive sous la forme d’une image disque qui semble parfaitement légitime. À première vue, tout laisse croire qu’il s’agit du logiciel Maccy. Un gestionnaire de presse-papiers bien connu des utilisateurs de Mac.
En réalité, le fichier contient un script AppleScript spécialement conçu pour lancer la suite de l’infection. Les chercheurs expliquent que cette première phase adopte une approche inhabituelle afin de rester discrète.
Plutôt que de lancer des commandes système comme curl ou zsh pour télécharger sa charge utile, il utilise un téléchargeur autonome basé sur JavaScript for Automation (JXA). Celui-ci exploite directement les interfaces natives d’Objective-C pour récupérer et préparer la charge utile suivante.
Selon les chercheurs de Jamf, cette approche réduit les traces laissées sur le système et complique le travail des outils de sécurité.
Un manipulateur
Le scénario d’infection repose également sur une manipulation de l’utilisateur. Après avoir ouvert l’image disque, celui-ci est invité à appuyer immédiatement sur la combinaison de touches Commande + R.
Cette action déclenche directement le code malveillant contenu dans le script AppleScript. Elle permet également de contourner le mécanisme com.apple.quarantine de macOS. L’outil chargé d’afficher des avertissements lorsqu’un programme téléchargé depuis Internet tente de s’exécuter.
Ainsi, l’utilisateur croit simplement suivre les étapes normales d’installation du logiciel alors qu’il lance en réalité l’infection.
La première étape installe ensuite sa charge utile dans un faux paquet d’application imitant des composants intégrés à macOS. Selon les échantillons analysés, le malware se déguise par exemple en Finder.app ou en Software Update.app.
Les noms internes utilisés renforcent encore l’illusion, avec des identifiants rappelant ceux des véritables services système. Pour paraître encore plus crédible, l’application reprend même l’icône officielle du Finder tout en fonctionnant entièrement en arrière-plan.
PamStealer : un malware extrêmement discret
La seconde étape repose sur un exécutable Mach-O destiné aux Mac équipés de processeurs Apple Silicon. Cette partie est écrite en Rust alors que les cybercriminels privilégient habituellement Swift, Objective-C ou Go.
Le programme intègre également un lecteur SQLite. Celui-ci est capable d’accéder directement aux bases de données présentes sur la machine afin de récupérer davantage d’informations sensibles.
L’une des particularités les plus remarquables de PamStealer concerne toutefois la manière dont il vole le mot de passe de connexion. Le malware affiche une fenêtre qui ressemble à une demande d’autorisation parfaitement officielle de macOS.
Le message indique que Maccy souhaite effectuer des modifications et demande simplement le mot de passe de l’utilisateur. Jusque-là, rien d’inhabituel. La différence apparaît ensuite.
PamStealer ne transmet pas immédiatement le mot de passe pour le tester ailleurs. Il le valide directement sur l’ordinateur grâce à l’interface PAM, le système d’authentification intégré à macOS.
En quoi cette méthode est-elle ingénieuse ?
Cette méthode évite l’utilisation de commandes classiques comme dscl, security ou osascript, fréquemment exploitées par d’autres malwares. Elle ne crée pas non plus de nouveaux processus susceptibles d’être repérés par les logiciels de sécurité.
Si le mot de passe saisi est incorrect, le programme affiche simplement une nouvelle demande jusqu’à obtenir les bons identifiants. Une fois le mot de passe validé, il est envoyé au serveur contrôlé par les attaquants.
Immédiatement après, un faux message indique que le fichier est endommagé et qu’il ne peut pas être installé. Cette dernière mise en scène vise à détourner les soupçons et à faire croire à un simple problème d’installation.
PamStealer ne s’arrête d’ailleurs pas là. Il cherche également à obtenir un accès complet au disque dur afin d’élargir la quantité de données qu’il peut récupérer.
Son code contient aussi des fonctionnalités destinées à rechercher des informations liées à des comptes Ethereum. Preuve que les actifs numériques figurent parmi les cibles potentielles de cette campagne.
- Partager l'article :

