Une fausse version de Maccy, un gestionnaire de presse-papiers populaire pour macOS, est utilisée pour diffuser une souche de malware Mac récemment découverte appelée PamStealer. Les chercheurs de Jamf affirment que le malware se fait passer pour la véritable application open source, mais que son objectif réel est de voler des données et de capturer le mot de passe de connexion d'une victime.
PamStealer arrive sous la forme d'une image disque contenant un fichier AppleScript qui usurpe l'identité de Maccy. Une fois que l'utilisateur ouvre ce fichier, macOS le lance dans l'éditeur de script, où les instructions à l'écran lui demandent d'appuyer sur Commande-R. Pour quelqu'un qui s'attend à un programme d'installation d'application normal, cela peut ressembler à une étape de configuration étrange. En réalité, cette action exécute du code malveillant caché et lance l’attaque.
Un faux installateur lance l'attaque
La première partie de l’attaque est conçue pour rester silencieux. Au lieu d'utiliser les outils de ligne de commande Mac courants que les équipes de sécurité surveillent souvent, les chercheurs affirment que le malware utilise les propres fonctionnalités d'automatisation d'Apple pour télécharger et lancer l'étape suivante.
La charge utile se cache ensuite dans des bundles d’applications qui prétendent être de véritables composants macOS. Jamf a trouvé des échantillons se faisant passer pour un Finder ou une mise à jour logicielle. Ces faux composants fonctionnent en arrière-plan et utilisent l'icône Finder d'Apple, ce qui rend l'attaque plus convaincante.


La demande de mot de passe est le vrai danger
L'astuce la plus inquiétante de PamStealer est l'invite de mot de passe. Le malware affiche une boîte de dialogue Mac d'apparence native indiquant que Maccy souhaite apporter des modifications et demande à l'utilisateur de saisir un mot de passe. Le mot de passe est vérifié via le système de vérification de connexion de macOS. Si c'est faux, l'invite apparaît à nouveau. Une fois le mot de passe correct saisi, le malware le capture et affiche un faux message indiquant que Maccy est endommagé et ne peut pas être ouvert.
Les chercheurs ont également découvert que PamStealer peut consulter le presse-papiers, s'enregistrer pour s'exécuter à nouveau après la connexion, puis demander un accès complet au disque. Lors des tests, cette invite apparaissait parfois jusqu'à 40 minutes plus tard, ce qui rendait plus difficile la connexion de la demande au faux programme d'installation.
Les chaînes officielles de Maccy avertissent désormais les utilisateurs des faux sites Web, tout en les dirigeant vers maccy.app comme seul endroit légitime pour obtenir l'application.






