PamStealer : un nouveau malware furtif pour macOS, déguisé en gestionnaire de presse-papiers, cible les identifiants des utilisateurs.

Découvrez PamStealer, un nouveau logiciel malveillant pour macOS qui se fait passer pour le gestionnaire de presse-papiers Maccy afin de voler des mots de passe et des clés de chiffrement. Apprenez-en davantage sur son fonctionnement et sur les mesures de protection à adopter.

A
Staff Writer
Publié le 03/07/2026 13:35
PamStealer : un nouveau malware furtif pour macOS, déguisé en gestionnaire de presse-papiers, cible les identifiants des utilisateurs.

L'essor des voleurs d'informations sophistiqués sur macOS

Pendant des années, les utilisateurs de Mac ont bénéficié d'un sentiment de sécurité relatif par rapport à leurs homologues Windows. Cependant, cet écart se réduit rapidement à mesure que les cybercriminels développent des outils plus ciblés et sophistiqués. La dernière menace, identifiée par les chercheurs en sécurité de Jamf, est un logiciel malveillant baptisé PamStealer. Ce voleur d'informations utilise une combinaison astucieuse d'ingénierie sociale et d'outils système natifs de macOS pour contourner les alertes de sécurité et collecter des informations de connexion sensibles.

Comment PamStealer trompe les utilisateurs

PamStealer ne se présente pas comme un virus à proprement parler, mais plutôt comme une contrefaçon d'une application de productivité populaire et légitime appelée Maccy, un gestionnaire de presse-papiers léger. En se faisant passer pour un utilitaire de confiance, le logiciel malveillant incite les utilisateurs à le télécharger et à l'installer depuis un domaine frauduleux.

Processus d'infection en deux étapes

Le logiciel malveillant utilise une chaîne d'exécution en plusieurs étapes conçue pour échapper à la détection des logiciels antivirus traditionnels:

  • Étape 1: L'entrée AppleScript: Le logiciel malveillant arrive via une image disque. À l'ouverture, les utilisateurs sont invités à exécuter un script AppleScript. Grâce à cette méthode, PamStealer contourne avec succès com.apple.quarantine, la fonctionnalité de sécurité native de macOS qui signale et restreint généralement les fichiers exécutables téléchargés depuis Internet.
  • Étape 2: La charge utile basée sur Rust: Une fois le script actif, il utilise un téléchargeur JavaScript for Automation (JXA) pour récupérer une charge utile de deuxième étape. Cette charge utile est un fichier Mach-O écrit en Rust, spécifiquement optimisé pour les processeurs Apple série M. L'utilisation de Rust est particulièrement remarquable car elle est rare pour les voleurs d'identifiants macOS courants, ce qui rend le logiciel malveillant plus difficile à détecter par certains outils de sécurité.

Vol d'identifiants via PAM

Ce qui distingue PamStealer des logiciels malveillants classiques est son utilisation de l'interface des Modules d'authentification enfichables (PAM). Au lieu d'utiliser des commandes shell évidentes comme curl ou zsh, qui déclenchent souvent des alertes de sécurité, PamStealer affiche une invite de mot de passe macOS d'apparence native.

L'invite se lit généralement comme suit: «Maccy souhaite apporter des modifications. Saisissez votre mot de passe pour l'autoriser.» Lorsque l'utilisateur, sans méfiance, saisit son mot de passe administrateur, le logiciel malveillant valide les identifiants localement via l'API PAM. Cela permet à l'attaquant d'obtenir un accès complet au disque ou d'injecter du code malveillant pour cibler des ressources spécifiques, comme des comptes de cryptomonnaie Ethereum.

Comment protéger votre Mac contre PamStealer

Bien que macOS intègre des protections comme XProtect, le facteur humain reste la principale vulnérabilité. Voici les bonnes pratiques pour sécuriser votre appareil:

1. Vérifiez la provenance des logiciels

Assurez-vous toujours de télécharger des logiciels depuis des sites web officiels. Dans le cas de Maccy, le seul site légitime est maccy.app. Méfiez-vous des URL similaires, comme maccyapp.com, qui ont été utilisées pour héberger le logiciel malveillant.

2. Privilégiez l'App Store

Dans la mesure du possible, téléchargez les applications directement depuis l'App Store d'Apple. Comme Apple vérifie les applications avant leur publication, le risque d'installer un voleur de données est considérablement réduit par rapport au téléchargement de fichiers .dmg aléatoires sur Internet.

3. Méfiez-vous des demandes de mot de passe inattendues

Si une application que vous venez d'installer vous demande soudainement votre mot de passe administrateur pour «apporter des modifications» sans raison apparente, arrêtez-vous et vérifiez. Les logiciels de qualité expliquent généralement précisément pourquoi des autorisations élevées sont requises.

4. Utilisez une sécurité multicouche

Bien que XProtect constitue une excellente base, l'utilisation d'une solution antivirus tierce réputée peut offrir une couche supplémentaire d'analyse heuristique pour détecter les menaces «zero-day» comme PamStealer avant leur exécution.

Articles similaires