PamStealer sur Mac, le faux Maccy qui dérobe mots de passe et accès

macOS
Image d'illustration. macOS — Apple / PR-ADN

Déguisé en gestionnaire de presse-papiers, PamStealer cible les mots de passe macOS avec une chaîne d’exécution discrète qui complique la détection.

En bref

  • Un faux Maccy diffuse PamStealer sur macOS
  • Le malware vole le mot de passe via PAM
  • Vérifiez l’URL, privilégiez l’App Store

Le point de départ est presque banal. Une application connue, un nom de domaine qui ressemble au bon, et un utilisateur qui pense télécharger Maccy. C’est précisément là que PamStealer est intéressant, et un peu inquiétant, pour l’écosystème Mac.

Le piège part d’un faux site, pas d’une faille

Chez Jamf, les chercheurs expliquent que Maccy est une vraie application, populaire, et que son seul site officiel est maccy.app. Le faux était hébergé sur maccyapp.com, une différence minime à l’œil nu, mais suffisante pour piéger un téléchargement.

Vous voyez le contraste. L’attaque ne casse pas d’abord macOS, elle exploite la confiance autour d’un outil légitime. Du coup, la première défense reste très simple sur le papier, vérifier l’URL, puis regarder si l’application existe aussi sur l’App Store. Ici, c’est le cas de Maccy.

Une chaîne d’exécution pensée pour faire moins de bruit

Techniquement, PamStealer ne ressemble pas au voleur d’infos macOS le plus bruyant du lot. Le premier étage se présente comme un fichier AppleScript déguisé en gestionnaire de presse-papiers. Quand on l’ouvre, il lance l’éditeur de script de macOS, où le code malveillant est enfoui.

Et ce n’est pas tout. Selon Jamf, le script n’utilise pas les commandes shell attendues comme curl ou zsh. Il s’appuie sur un téléchargeur JXA, donc du JavaScript for Automation, qui récupère la charge utile via des API natives Objective-C. La deuxième étape prend la forme d’un fichier Mach-O écrit pour les puces Apple de série M. Le choix de Rust reste assez rare dans cette famille de malware, et le code embarque aussi SQLite pour lire directement des bases de données.

Le vrai objectif, c’est le mot de passe macOS

Une fois l’image disque ouverte, la victime est invitée à appuyer immédiatement sur Command-R. Cette séquence déclenche le code malveillant et permet de contourner com.apple.quarantine, le mécanisme de macOS censé avertir lors de l’ouverture de fichiers exécutables téléchargés.

Ensuite, PamStealer affiche une demande de mot de passe qui imite une autorisation système native, « Maccy veut apporter des modifications. Saisissez votre mot de passe pour autoriser cela. » Le point malin, c’est la validation locale via l’API PAM. Le mot de passe est vérifié sur la machine avant d’être envoyé vers un serveur contrôlé par l’attaquant. Résultat, moins de signaux visibles pour les outils de défense. Selon Jamf, ce mot de passe peut ensuite ouvrir un accès complet au disque ou servir à injecter du code visant des comptes Ethereum.

Pourquoi ce cas compte pour l’écosystème Mac

Ce cas dit quelque chose de très net, les stealers sur macOS gagnent en discrétion. Chaîne d’exécution plus silencieuse, composants natifs, compatibilité avec les mécanismes standard du système, clairement la qualité d’exécution monte.

Pour se protéger, Apple fournit déjà XProtect sur Mac. Mais il faut surtout garder les réflexes de base, vérifier deux fois l’URL, préférer l’App Store quand l’application y est disponible, et ajouter un antivirus dédié si vous voulez une couche de détection supplémentaire. Ici, le vrai danger ne vient pas d’un message spectaculaire. Il vient d’un faux détail crédible.

Jérôme Nelra

Spécialiste Tech

X Tous ses articles →
Une erreur dans cet article ?

Nous apportons le plus grand soin à chaque article et nous appuyons sur des sources fiables. Personne n'est à l'abri d'une erreur : si vous en repérez une, signalez-la, nous la corrigerons au plus vite.

Sujets
MacOS Malware

Lisez Servicesmobiles.fr en priorité sur Google

Ajoutez-nous à vos sources préférées : nos articles remonteront plus haut dans votre actualité.

Ajouter à mes sources