Le logiciel malveillant PamStealer cible macOS et se distingue en vérifiant la validité des mots de passe de connexion. Une fois installé, il dérobe les données confidentielles de la victime (cookies, historique de navigation, identifiants, cryptos). Son point de départ : un faux site usurpant l’identité du gestionnaire de presse-papiers Maccy.
PamStealer : le malware qui vérifie vos mots de passe
Comme l’explique le centre de recherche Jamf Threat Labs, tout commence par un faux site usurpant l’identité du gestionnaire de presse-papiers Maccy. Comme on peut le voir ci-dessous, plusieurs éléments de confiance sont mis en avant, comme : « open-source », « signed », « notarised », « native on Apple silicon ». Au centre, se situe un bouton : « Download .dmg ».

En appuyant sur ce bouton, la victime télécharge un fichier piégé. Une fois ce dernier ouvert, le voleur d’informations nommé PamStealer s’installe. Une fois lancé, PamStealer usurpe l’identité du système en affichant une fausse fenêtre de connexion macOS. Il trompe ainsi l’utilisateur en lui demandant ses identifiants sous prétexte d’autoriser des modifications apportées par la prétendue application Maccy. En combinant AppleScript et une charge utile Rust, ce logiciel malveillant analyse le système, subtilise les données de l’utilisateur et parvient même à authentifier ses identifiants avant de les dérober. En effet, la particularité de ce programme espion réside dans le fait qu’il valide les identifiants de la victime, là où d’autres programmes malveillants se contentent d’enregistrer ce que l’utilisateur saisit. En d’autres termes, si le mot de passe saisi est faux, il le rejette. Les chercheurs précisent que le logiciel malveillant PamStealer cible les cookies du navigateur, l’historique de navigation, les identifiants enregistrés, les bases de données SQLite, le contenu du presse-papiers et les données des portefeuilles de cryptomonnaies.
Comment éviter de tomber dans le piège ?
Le centre Jamf Threat Labs rappelle qu’il faut éviter au maximum l’installation de programmes depuis des sites peu fiables. Privilégiez toujours les développeurs de confiance, ou passez uniquement par l’App Store. Si vous n’avez pas le choix, vérifiez avec vigilance l’adresse du site web avant de télécharger un logiciel. Faites également attention aux demandes inattendues d’authentification. De la même façon, l’octroi d’un accès complet au disque à un programme qui vient d’être installé doit inciter à la plus grande prudence. Veillez aussi à toujours maintenir macOS et vos logiciels de sécurité à jour.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Jamf Threat Labs

