📣 Envoyez-nous votre communiqué de presse
Site mis à jour toutes les 15 minutes
Technologie

PamStealer nouvellement découvert cible les utilisateurs de macOS

Des chercheurs ont identifié un nouveau type de logiciel malveillant pour macOS, PamStealer, qui vole les identifiants de connexion des utilisateurs en exploitant les mécanismes d'authentification du système d'exploitation.

2 juillet 2026
PamStealer nouvellement découvert cible les utilisateurs de macOS

Des chercheurs ont identifié un nouveau logiciel malveillant pour macOS, baptisé PamStealer, qui combine plusieurs techniques sophistiquées pour infecter les Mac et voler les identifiants de connexion à destination d'un serveur contrôlé par un attaquant. Une caractéristique clé de ce malware est son utilisation de l'interface Pluggable Authentication Modules (PAM) intégrée à macOS pour valider les mots de passe avant leur exfiltration.

Le processus d'infection de PamStealer se déroule en deux étapes. La première étape est distribuée via une image disque se faisant passer pour Maccy, un gestionnaire de presse-papiers populaire pour Mac. Le code AppleScript contenu dans cette image disque est conçu pour livrer la seconde étape, celle qui vole réellement les identifiants, à la cible.

Bien que l'utilisation d'images disque et d'AppleScript soit courante dans les malwares pour Mac, la combinaison de ces méthodes par PamStealer d'une manière qui améliore sa furtivité est inhabituelle. Lorsque le fichier AppleScript est double-cliqué, il s'ouvre dans l'application Script Editor de macOS, la fonctionnalité malveillante étant profondément enfouie dans le fichier, ce qui rend sa détection plus difficile.

L'outil de vol d'informations de PamStealer, écrit en Rust, exploite l'interface PAM intégrée à macOS. Cela permet au malware de vérifier le mot de passe saisi par l'utilisateur cible avant de l'envoyer à des serveurs contrôlés par des attaquants. L'utilisation de cette technique avancée fait de PamStealer une menace notable pour les utilisateurs de Mac.

Source originale: arstechnica.com