Jamf Threat Labs a identifié un nouveau voleur d’informations pour macOS basé sur Rust, nommé PamStealer, qui se fait passer pour le gestionnaire de presse-papiers open source Maccy. Dans un rapport publié jeudi, la société de cybersécurité indique que la campagne utilise un site web frauduleux pour distribuer un fichier AppleScript malveillant capable de voler les mots de passe et les clés de portefeuille crypto des utilisateurs Mac. Selon Jamf Threat Labs, le logiciel malveillant valide le mot de passe de connexion des victimes via les modules d’authentification enfichables (PAM) de macOS avant de les récolter. Cette découverte reflète une tendance plus large des attaquants à déguiser des logiciels malveillants en logiciels légitimes et à abuser de plateformes de développement et de canaux publicitaires de confiance.
Selon Jamf Threat Labs, la campagne utilise un site web imitant l’original pour distribuer une image disque contenant un fichier AppleScript malveillant nommé Maccy.scpt. Lorsqu’il est ouvert, le fichier affiche des instructions demandant à l’utilisateur de l’exécuter dans l’éditeur de scripts d’Apple, tout en dissimulant le code malveillant plus loin dans le document.
« Nous suivons ce logiciel malveillant sous le nom de PamStealer, d’après l’un de ses comportements principaux : valider le mot de passe de connexion de la victime via les modules d’authentification enfichables (PAM) de macOS avant de le récolter », écrit Jamf Threat Labs dans le rapport.
Jaron Bradley, directeur de Jamf Threat Labs, a déclaré à Decrypt que les attaquants achètent des espaces publicitaires Google pour attirer les utilisateurs vers des applications malveillantes. « Nous avons récemment observé des publicités malveillantes hébergées sur X également », a ajouté Bradley. « Ces techniques d’ingénierie sociale se sont avérées très efficaces. »
Le logiciel malveillant utilise JavaScript pour l’automatisation et les API natives de macOS pour télécharger une charge utile de deuxième étape sans recourir aux utilitaires shell courants comme curl ou zsh, réduisant ainsi le nombre de processus que les outils de sécurité peuvent observer.
Selon le rapport, la deuxième étape est un binaire basé sur Rust conçu pour les Mac Apple Silicon qui se déguise en Finder ou en Software Update. « Plutôt que de stocker sa configuration en texte clair, le dropper dérive une clé à partir d’une empreinte de l’hôte — incluant son architecture CPU, sa locale, sa disposition de clavier et son fuseau horaire — et l’utilise pour déverrouiller une configuration chiffrée et vérifiée par intégrité contenant l’URL de la charge utile et le chemin d’installation », indique la société.
Si le logiciel malveillant ne peut pas vérifier qu’il s’exécute sur sa cible prévue, il s’arrête silencieusement.
Une fois installé, le logiciel malveillant peut voler les identifiants de navigateur et les données du trousseau, surveiller le contenu du presse-papiers, établir une persistance et envoyer les informations volées à un serveur de commande et contrôle distant via des communications chiffrées.
Le logiciel malveillant tente d’étendre son accès en affichant une fausse alerte Finder demandant aux utilisateurs d’accorder l’accès total au disque. L’invite peut apparaître jusqu’à 40 minutes après l’infection, rendant moins probable que les utilisateurs l’associent au téléchargement d’origine. Si elle est approuvée, le logiciel malveillant peut accéder aux données protégées, notamment Mail, Messages et les sauvegardes Time Machine.
Selon Bradley, Jamf n’a observé aucune preuve que PamStealer soit actif en milieu sauvage. La société a informé Apple de ses conclusions. Apple n’a pas immédiatement répondu à une demande de commentaire de Decrypt.
Jamf déclare observer des techniques d’ingénierie sociale similaires se propager sur d’autres plateformes. Dans un post X la semaine dernière, la société a indiqué enquêter sur une publicité sponsorisée sur X faisant la promotion de DynamicLake, qui redirigeait les utilisateurs vers dynamicmacisland[.]com, où il leur était demandé d’ouvrir Terminal et d’exécuter une commande d’installation.
« La publicité a été diffusée via un compte X vérifié, ajoutant une couche supplémentaire de confiance à l’ingénierie sociale », écrit la société. « L’analyse de la charge utile a révélé une variante récente d’Atomic (MacSync) Stealer. »
Ces résultats surviennent alors que les attaquants déguisent de plus en plus les logiciels malveillants en logiciels légitimes et abusent des plateformes de développement et des canaux publicitaires de confiance. Les campagnes récentes incluent un faux dépôt OpenAI qui a atteint le sommet des projets tendance de Hugging Face avant de distribuer un voleur d’informations basé sur Rust, une extension malveillante Visual Studio Code que GitHub a déclaré avoir exposé environ 3 800 dépôts internes, et la campagne Shai-Hulud ciblant la chaîne logistique logicielle des outils de développement utilisés par des entreprises d’IA comme OpenAI et Mistral AI.
Qu’est-ce que le logiciel malveillant PamStealer et comment cible-t-il les utilisateurs Mac ?
PamStealer est un voleur d’informations macOS basé sur Rust identifié par Jamf Threat Labs qui se fait passer pour le gestionnaire de presse-papiers open source Maccy. Le logiciel malveillant est distribué via un site web frauduleux qui délivre un fichier AppleScript malveillant. Il valide le mot de passe de connexion des victimes via les modules d’authentification enfichables (PAM) de macOS avant de voler les identifiants de navigateur, les données du trousseau et de surveiller le contenu du presse-papiers.
Comment PamStealer évite-t-il la détection par les outils de sécurité ?
Selon Jamf Threat Labs, PamStealer utilise JavaScript pour l’automatisation et les API natives de macOS pour télécharger une charge utile de deuxième étape sans recourir aux utilitaires shell courants comme curl ou zsh, réduisant ainsi le nombre de processus que les outils de sécurité peuvent observer. Le logiciel malveillant dérive également une clé de l’empreinte de l’hôte pour déverrouiller une configuration chiffrée, et s’arrête silencieusement s’il ne peut pas vérifier qu’il s’exécute sur sa cible prévue.
Jamf a-t-il observé PamStealer utilisé dans des attaques actives ?
Selon Jaron Bradley, directeur de Jamf Threat Labs, Jamf n’a observé aucune preuve que PamStealer soit actif en milieu sauvage. La société a informé Apple de ses conclusions, mais Apple n’a pas immédiatement répondu à une demande de commentaire de Decrypt.
Actualités associées
Zcash vise le 21 juillet 2026 pour le mainnet Ironwood après un défaut du pool Orchard
D3Lab détecte une vague de logiciels malveillants de paiement sans contact ciblant les utilisateurs Android en Europe
Peter Schiff critique les memecoins de Trump comme outil de corruption
Hinkal DeFi subit une perte de 820 000 dollars due à une faille, 410 ETH impliqués dans du blanchiment d'argent.