Une nouvelle menace cible les utilisateurs de Mac. Baptisé PamStealer, ce logiciel malveillant de type infostealer a été mis au jour par des spécialistes en sécurité. Il se caractérise par des techniques d’infection et de dissimulation plus sophistiquées que celles habituellement observées dans les logiciels malveillants destinés à la plateforme Apple.
Un leurre basé sur un gestionnaire de presse-papiers
La phase initiale de l’attaque consiste à distribuer une image disque (.dmg) se faisant passer pour le logiciel Maccy, un gestionnaire de presse-papiers légitime pour Mac. Cette image contient un fichier AppleScript qui constitue le premier étage de la chaîne d’infection. Lorsque la victime double-clique sur ce fichier, pensant installer l’application souhaitée, macOS l’ouvre dans l’éditeur de scripts Script Editor, où le code malveillant est dissimulé en profondeur.
L’approche se distingue par son usage de la touche Commande (⌘) immédiatement après le double-clic. Cette action déclenche l’exécution du code nuisible directement, tout en contournant l’attribut de quarantaine macOS (com.apple.quarantine) qui aurait normalement dû alerter l’utilisateur sur l’origine téléchargée du fichier.
Un téléchargeur discret en JavaScript
Plutôt que de recourir à des commandes shell classiques comme curl ou zsh, l’AppleScript active un téléchargeur JavaScript pour Automation (JXA) intégré. Ce dernier utilise des API Objective-C natives pour récupérer et mettre en place la charge utile du second étage. Cette méthode, plus discrète, rend la détection plus ardue pour les solutions de sécurité classiques.
Un second étage en Rust et une validation locale via PAM
Le second étage du malware est un fichier Mach-O écrit en langage Rust, optimisé pour les Mac équipés de processeurs Apple Silicon. C’est cette partie qui donne son nom à la menace : PamStealer utilise en effet le système Pluggable Authentication Modules (PAM) intégré à macOS pour valider le mot de passe de connexion de la victime avant de l’exfiltrer vers un serveur contrôlé par les attaquants.
Le logiciel malveillant déploie des efforts considérables pour rester invisible. Il se fait passer pour le processus légitime Finder et chiffre son trafic de commande et de contrôle (C2). De plus, il retarde les demandes d’autorisation système, comme celle pour l’accès au disque complet, jusqu’à quarante minutes après son lancement. Ce décalage temporel vise à dissocier l’apparition de ces alertes du moment de l’infection, rendant plus difficile pour l’utilisateur de faire le lien avec l’installation frauduleuse.
Une évolution des menaces pour macOS
Les chercheurs notent que PamStealer illustre une tendance plus large : les logiciels malveillants pour macOS deviennent plus sophistiqués. Ils adoptent des chaînes d’exécution plus silencieuses et des implémentations natives qui réduisent les opportunités de détection traditionnelles tout en restant compatibles avec les fonctionnalités standards du système d’exploitation. L’usage combiné de Rust, de PAM et de techniques de dissimulation avancées marque une étape dans l’évolution des menaces ciblant les utilisateurs de Mac.