PamStealer : ce malware macOS valide votre mot de passe avant de le voler

PamStealer : un nouveau malware macOS valide les mots de passe avant de les voler

Un rapport récent de Jamf Threat Labs met en lumière PamStealer, un infostealer ciblant spécifiquement macOS, qui se distingue par sa méthode de validation des mots de passe. Ce malware ne s’attaque qu’aux machines Apple Silicon, confirmant la validité des mots de passe via le framework PAM (Pluggable Authentication Modules) d’Apple avant de procéder au vol de données.

La menace PamStealer

PamStealer se présente sur Internet sous l’apparence de Maccy, un gestionnaire de presse-papiers open source populaire parmi les utilisateurs de macOS. Les cybercriminels ont mis en place une version contrefaite de l’application sur le domaine maccyapp[.]com, imitant le site officiel maccy.app. Cette méthode d’escroquerie est relativement courante.

L’attaque se déroule en deux phases. La première consiste en un AppleScript compilé, Maccy.scpt, distribué dans une image disque. À l’ouverture, macOS affiche ce fichier dans l’éditeur de scripts, accompagné de fausses instructions invitant l’utilisateur à presser Cmd+R pour commencer, illustrant une technique de ClickFix.

Le script exécute alors le code malveillant caché, contournant les protections d’Apple, y compris celles de Gatekeeper. Plutôt que d’utiliser des commandes shell classiques, le malware déploie un téléchargeur autonome en JXA (JavaScript for Automation) pour récupérer la charge utile via des API Objective-C natives. Le binaire Mach-O, écrit en Rust et compilé pour l’architecture arm64, ne s’exécute pas sur les Macs Intel.

PamStealer semble également ignorer délibérément les machines situées dans certains pays, comme la Russie, la Biélorussie et le Kazakhstan, en vérifiant des paramètres tels que le fuseau horaire, la langue système et la disposition du clavier.

Un mot de passe validé via PAM avant le vol

Lorsqu’il est actif, PamStealer affiche une fenêtre d’authentification imitant une demande système légitime : « Maccy souhaite apporter des modifications. Saisissez votre mot de passe pour l’autoriser. » Contrairement à d’autres infostealers qui enregistrent simplement la saisie, PamStealer valide le mot de passe localement via PAM. Si le mot de passe est incorrect, il redemande la saisie jusqu’à obtenir un identifiant valide.

Cette méthode permet d’exfiltrer des données vérifiées, rendant le processus plus discret. Une fois le mot de passe validé, le malware collecte une large gamme d’informations, y compris des identifiants, des cookies, des historiques de navigation, des bases SQLite, le contenu du presse-papiers et des données de portefeuilles de cryptomonnaies, le tout étant chiffré avant d’être envoyé à un serveur C2 contrôlé par les pirates.

Pour asr sa persistance, PamStealer se fait passer pour le Finder et s’enregistre pour être actif dès le démarrage du Mac. Il retarde certaines demandes d’accès, comme celle du disque, afin que son activité ne coïncide pas avec l’ouverture de l’application.

Cette stratégie illustre une tendance croissante des malwares macOS qui exploitent les fonctionnalités légitimes du système plutôt que de recourir à des failles inédites.

Source : Jamf Threat Labs

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *