PamStealer se déguise en gestionnaire de presse-papiers pour voler des mots de passe macOS

Des chercheurs ont découvert un nouveau voleur d’informations macOS qui attire les utilisateurs en se faisant passer pour un utilitaire de presse-papiers bien connu. Baptisé PamStealer, ce malware est distribué sous la forme d’un fichier AppleScript compilé, imitant Maccy, un gestionnaire de presse-papiers open source, et se propage via des sites trompeurs. Une fois installé sur un système, il exploite le cadre macOS PAM pour récupérer les mots de passe de connexion et les fichiers sensibles avant de les envoyer aux attaquants.
Fonctionnement du stratagème d’hameçonnage
La chaîne d’attaque commence par des sites frauduleux imitant le projet Maccy légitime. Les visiteurs sont incités à télécharger un fichier AppleScript compilé se faisant passer pour l’application réelle. Une fois exécuté, le script s’exécute en arrière-plan, abusant du module PAM de macOS pour rechercher les identifiants utilisateur. En parallèle, il fouille les documents sensibles à exfiltrer.
Pourquoi les utilisateurs macOS doivent rester vigilants
Étant donné que le malware est empaqueté sous forme de fichier AppleScript plutôt que sous celle d’un bundle d’application traditionnelle, il peut échapper à certains mécanismes de détection axés sur les conteneurs .app. Les équipes de sécurité recommandent de vérifier les sources de téléchargement et d’examiner tout script inconnu, même s’ils semblent provenir de projets open source réputés.
Source : The Hacker News. Synthèse éditoriale assistée par IA — TechnoExpress.

