PamStealer : un nouveau malware ciblant macOS
PamStealer, un nouveau malware découvert par Jamf, cible macOS en utilisant une image disque légitime et un script AppleScript pour contourner les défenses. Il vole les mots de passe via une fausse demande d'autorisation et utilise l'interface PAM pour les valider directement sur l'ordinateur.
« PamStealer ne transmet pas immédiatement le mot de passe pour le tester ailleurs. Il le valide directement sur l’ordinateur grâce à l’interface PAM, le système d’authentification intégré à macOS. » — Le Big Data
Que faut-il retenir ?
- PamStealer utilise une image disque légitime imitant le logiciel Maccy pour lancer l'infection.
- Le malware exploite un script AppleScript et un téléchargeur autonome basé sur JavaScript for Automation (JXA).
- Il affiche une fausse demande d'autorisation macOS pour voler le mot de passe de connexion.
- PamStealer valide le mot de passe directement sur l'ordinateur via l'interface PAM.
Pourquoi cette nouvelle compte-t-elle ?
PamStealer représente une menace sérieuse pour les utilisateurs de macOS, car il contourne les mécanismes de sécurité habituels et utilise des techniques sophistiquées pour voler des informations sensibles. Les professionnels de l'IT doivent être vigilants et mettre à jour leurs protocoles de sécurité pour se protéger contre ce type d'attaque.
💬 Jamf, Chercheurs en cybersécurité
Public concerné : entreprises, développeurs
Comment PamStealer contourne-t-il les défenses de macOS ?
PamStealer utilise une image disque légitime et un script AppleScript pour lancer l'infection. Il affiche une fausse demande d'autorisation macOS et valide le mot de passe directement via l'interface PAM, évitant ainsi les mécanismes de sécurité habituels.