Un malware ciblant les utilisateurs de macOS a été identifié par les experts en cybersécurité du Jamf Threat Labs. Selon Futura Sciences, ce nouveau venu, baptisé PamStealer, se distingue par sa méthode sophistiquée pour tromper ses victimes et récupérer des informations confidentielles.

Ce qu'il faut retenir

  • PamStealer se fait passer pour Maccy, un gestionnaire de presse-papiers gratuit et populaire sur macOS.
  • Ce malware est un infostealer capable de voler des mots de passe, des cookies et des extensions de portefeuilles de cryptomonnaies.
  • Il utilise une fausse demande d'autorisation système pour valider les mots de passe saisis par l'utilisateur.
  • Le dropper du malware évite de s'activer si l'ordinateur est situé dans certains pays de l'ex-URSS.
  • Un site frauduleux maccyapp[.]com a été créé pour distribuer cette fausse application.

Un malware qui mise sur la crédulité des utilisateurs

PamStealer, un nouveau malware repéré par les équipes du Jamf Threat Labs, cible spécifiquement les utilisateurs de macOS. Contrairement à la plupart des infostealers qui agissent en arrière-plan, ce logiciel malveillant mise sur une technique particulièrement insidieuse : l'usurpation d'identité. Il se fait passer pour Maccy, une application légitime et gratuite permettant de gérer les éléments copiés dans le presse-papiers. Selon Futura Sciences, ce subterfuge lui permet de tromper plus facilement les victimes, qui ne se méfient pas d'un outil qu'elles connaissent et utilisent régulièrement.

Une fois installé, PamStealer se révèle redoutable. Il est capable de lire les fichiers de base de données des navigateurs pour extraire les identifiants de connexion, les cookies, ainsi que les extensions de portefeuilles de cryptomonnaies. Mais sa particularité réside dans la méthode qu'il emploie pour voler ces données. Plutôt que de récupérer passivement les informations, il affiche une demande d'autorisation classique de macOS, obligeant l'utilisateur à saisir son mot de passe système. Grâce à la fonctionnalité PAM (Pluggable Authentication Modules) d'Apple, le malware valide alors le mot de passe entré et ne conserve que ceux qui sont corrects. Une approche qui limite les risques de détection immédiate tout en garantissant la collecte de données valides.

Une attaque en deux temps, avec une géolocalisation ciblée

La propagation de PamStealer suit une logique précise, en deux étapes distinctes. Tout commence par un dropper, c'est-à-dire un fichier d'apparence inoffensive qui contient un script malveillant. Dans ce cas précis, la fausse application Maccy est en réalité un fichier AppleScript compilé dans une image disque. Une fois exécuté, ce dropper analyse le système pour vérifier qu'il ne s'agit pas d'un environnement de test ou d'un ordinateur situé dans une région spécifique.

Curieusement, le malware ne s'active pas si l'ordinateur est basé en Russie, au Kazakhstan, en Biélorussie ou dans certains autres pays de l'ex-URSS. Une mesure qui pourrait s'expliquer par une volonté d'éviter les représailles juridiques ou techniques dans ces régions. Une fois cette vérification passée, le dropper télécharge et installe le malware PamStealer, qui se dissimule ensuite en imitant des applications système comme Finder. Pour maximiser ses chances de collecte de données, il incite également l'utilisateur à lui accorder un accès complet au disque via les réglages système.

Un site frauduleux pour donner une apparence de légitimité

Pour parfaire son imitation, les créateurs de PamStealer ont mis en ligne un site web à l'adresse maccyapp[.]com. Selon Futura Sciences, ce site, disponible en plusieurs langues, reproduit fidèlement l'apparence du site officiel de Maccy, situé quant à lui à l'adresse macc.app. Cette stratégie vise à tromper les utilisateurs peu méfiants qui pourraient être tentés de télécharger l'application depuis une source non officielle. Les experts rappellent que le seul site fiable pour obtenir Maccy reste macc.app. Tout autre domaine, même proche de l'original, doit être considéré avec la plus grande prudence.

Des mesures de protection simples mais indispensables

Face à cette menace, les utilisateurs de macOS doivent adopter une approche prudente. La règle d'or reste inchangée : toujours vérifier la source d'un téléchargement. Même si macOS est souvent perçu comme moins vulnérable aux malwares que d'autres systèmes d'exploitation, cette réputation ne doit pas conduire à une confiance excessive. Les cybercriminels ciblent désormais activement les plateformes comme macOS, comme en témoigne l'émergence de PamStealer.

Pour se protéger, il est recommandé de ne télécharger que depuis les sites officiels et de vérifier systématiquement l'URL avant tout téléchargement. Les extensions de navigateur ou les applications tierces doivent également être mises à jour régulièrement, car les correctifs de sécurité comblent souvent des vulnérabilités exploitées par les malwares. Enfin, l'activation d'un antivirus dédié à macOS peut apporter une couche de protection supplémentaire, bien que cette solution ne remplace pas la vigilance de l'utilisateur.

Et maintenant ?

Les experts du Jamf Threat Labs surveillent de près l'évolution de PamStealer et de ses variantes. D'autres infostealers pourraient adopter des techniques similaires, notamment l'utilisation de demandes d'autorisation système pour valider les mots de passe. Les utilisateurs de macOS devraient s'attendre à voir émerger de nouvelles menaces exploitant des méthodes toujours plus sophistiquées pour contourner les protections existantes.

Les prochaines semaines seront déterminantes pour évaluer l'impact de PamStealer et la réaction des éditeurs de sécurité. Une mise à jour de macOS ou des navigateurs pourrait, à terme, limiter l'efficacité de ce malware. En attendant, la prudence reste la meilleure défense.

Les signes d'une infection par PamStealer peuvent inclure des demandes inhabituelles d'autorisation système, des ralentissements inexpliqués ou la présence d'applications inconnues dans les réglages système. Si vous avez téléchargé Maccy depuis un site autre que macc.app, il est conseillé de vérifier immédiatement votre système avec un antivirus dédié et de changer vos mots de passe.