
Un faux gestionnaire de presse-papiers, un mot de passe vérifié avant d’être volé : Jamf Threat Labs a publié un rapport à propos de PamStealer, un nouvel infostealer visant macOS. Sa particularité ? Il confirme la validité du mot de passe de sa victime via le framework PAM d’Apple avant de piller les données. Et il ne s’attaque qu’aux Mac Apple Silicon. Voici ce que l’on sait sur cette menace.
La menace PamStealer
Sur le Web, le malware PamStealer se fait passer pour Maccy, un gestionnaire de presse-papiers open source apprécié des utilisateurs de macOS. Selon Jamf, les pirates hébergent une fausse version de l’application sur le domaine maccyapp[.]com, qui imite aux petits oignons le site légitime (maccy.app). Le principe du faux site n’a rien d’inédit, c’est une technique habituelle.
L’attaque se déroule en deux temps. Le premier étage de la fusée est un AppleScript compilé (Maccy.scpt) distribué dans une image disque. À l’ouverture, macOS affiche le fichier dans l’éditeur de scripts, accompagné de fausses consignes invitant l’utilisateur à presser Cmd+R pour commencer. Un bel exemple de ClickFix, une technique largement répandue, elle aussi.
Source : Jamf
Ce raccourci exécute le code malveillant dissimulé plus bas dans le fichier, et d’après les chercheurs de Jamf, cela fonctionne même lorsque le fichier porte encore l’attribut com.apple.quarantine. Cela signifie que les protections d’Apple sont contournées, que ce soit celles de Gatekeeper ou du Terminal.
Plutôt que des commandes shell classiques comme curl ou zsh (souvent surveillées de près), le script lance un téléchargeur autonome en JXA (JavaScript for Automation) qui récupère la charge utile via des API Objective-C natives. Le second étage de la fusée PamStealer est un binaire Mach-O écrit en Rust, compilé pour l’architecture arm64 (Apple Silicon) : sur un Mac Intel, d’après Jamf, la configuration chiffrée ne se déverrouille pas et le programme s’arrête.
Même si Jamf n’évoque pas l’origine des cybercriminels à l’origine de cette campagne, le comportement de PamStealer donne quelques indices. En effet, PamStealer semble écarter volontairement les machines situées dans plusieurs pays comme la Russie, la Biélorussie et le Kazakhstan. Pour cela, il vérifie deux trois trucs sur la machine, dont le fuseau horaire, la langue système et la disposition du clavier.
Un mot de passe validé via PAM avant le vol
Parlons maintenant d’une particularité de PamStealer. Lorsqu’il est actif sur une machine, il affiche une fenêtre d’authentification (NSAlert) imitant une demande système légitime : “Maccy souhaite apporter des modifications. Saisissez votre mot de passe pour l’autoriser.”, toujours en se faisant passer pour Maccy.
Source : Jamf
Là où la plupart des infostealers macOS se contentent d’enregistrer la saisie, PamStealer valide le mot de passe localement via PAM, alias Pluggable Authentication Modules (un module d’authentification utilisé aussi par Linux). Dans le cas où le mot de passe est invalide, il redemande à l’utilisateur de le saisir jusqu’à obtenir un identifiant correct. Résultat : il peut exfiltrer une donnée valide et vérifiée en local, ce qui est plutôt ingénieux.
“Cette vérification s’effectue entièrement via PAM : il n’y a aucun appel à dscl, security, osascript ni à aucun processus lancé pour vérifier le mot de passe, comme le font de nombreux logiciels de vol de données courants sous macOS. Il en résulte une routine plus discrète qui ne conserve qu’un mot de passe vérifié, et une chaîne de processus en moins à détecter pour les défenseurs.”, précisent les chercheurs de Jamf.
Une fois le mot de passe validé, la charge malveillante codée en Rust ratisse large : identifiants enregistrés, cookies et historiques de navigateurs, bases SQLite, contenu du presse-papiers (lu en boucle via pbpaste) et données de portefeuilles de cryptomonnaies. Le tout est chiffré (ChaCha20-Poly1305) avant d’être exfiltré vers un serveur C2 piloté par les pirates.
Pour le côté persistance, ce malware se fait passer pour le Finder et s’enregistre de façon à être actif dès le démarrage du Mac. Il retarde enfin certaines invites (comme la demande d’accès complet au disque) parfois jusqu’à quarante minutes après le lancement, pour que son activité ne coïncide pas avec l’ouverture de l’application.
Ce mode opératoire confirme une tendance déjà documentée sur IT-Connect : les malwares macOS abusent des fonctions légitimes du système plutôt que d’exploiter des failles inédites. On peut citer la variante de MacSync capable de contourner Gatekeeper ou des attaques ClickFix détournant les artefacts de Claude.
Sources : Jamf Threat Labs
Cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Mon obsession depuis près de 15 ans ? Rendre l’administration système et la cybersécurité accessibles, que vous soyez junior ou confirmé. Plus qu’un métier, l’IT est pour moi une véritable passion. J’accompagne au quotidien les sysadmins et les professionnels de l’IT dans leur montée en compétences et leur veille technique.
