Aller au contenu principal
PamStealer : ce malware macOS se fait passer pour Maccy pour voler vos clés privées crypto

PamStealer : ce malware macOS se fait passer pour Maccy pour voler vos clés privées crypto

Publié par le 3 min de lecture588 vues1 likes
Partager
Ajoutez-nous à vos favoris

Un faux Maccy qui vide vos wallets

PamStealer se présente sous la forme d'une image disque (.dmg) contenant un fichier AppleScript compilé imitant Maccy, un gestionnaire de presse-papiers open source légitime. Une fois exécuté, le malware enclenche une première phase : il récupère le mot de passe de session de l'utilisateur, les identifiants stockés dans le navigateur, l'accès au trousseau macOS (Keychain) et les clés privées des portefeuilles crypto. Tout est transmis à un serveur distant.

La subtilité tient dans le nom même du logiciel malveillant. Selon le rapport de Jamf Threat Labs, PamStealer tire son nom de l'utilisation des Pluggable Authentication Modules (PAM) d'Apple : avant d'exfiltrer les données, il valide localement le mot de passe volé via cette interface système, ce qui réduit les faux positifs et rend la collecte plus fiable. Ciblé sur les Mac Apple Silicon, le malware évite par ailleurs les machines dont les paramètres régionaux correspondent à la Russie, la Biélorussie ou le Kazakhstan.

Une architecture en deux temps conçue pour rester invisible

Le second stade du malware est écrit en Rust. Ce choix n'est pas anodin : le langage produit des binaires compacts, difficiles à analyser statiquement et le trafic vers le serveur de commande et contrôle est chiffré. Jamf Threat Labs précise que la demande d'accès complet au disque, étape nécessaire pour atteindre les fichiers les plus sensibles, peut être retardée jusqu'à 40 minutes après l'installation. Le malware se déguise alors en Finder ou en mise à jour système pour formuler cette requête sans éveiller les soupçons.

Pour le téléchargement du payload, PamStealer utilise du JavaScript for Automation (JXA), un framework natif macOS, ce qui lui permet d'appeler des API système sans dépendance externe suspecte.

Pourquoi c'est important pour vos actifs

La chaîne de distribution est particulièrement agressive. Les attaquants achètent de l'espace publicitaire sur Google et sur X pour promouvoir l'application piégée, en s'appuyant sur des domaines sosies comme maccyapp.com. Un utilisateur qui cherche Maccy via un moteur de recherche peut donc tomber sur une annonce sponsorisée menant directement au fichier malveillant.

Pour les détenteurs de cryptomonnaies sur Mac, le risque est direct : PamStealer cible explicitement les clés privées des wallets et le contenu du presse-papiers, ce qui couvre aussi bien les seeds copiés-collés que les adresses de destination lors d'un transfert. Un wallet non custodial compromis à ce niveau ne laisse aucun recours. La règle reste la même : ne jamais installer une application depuis une publicité, vérifier l'URL officielle (maccy.app pour Maccy) et ne jamais copier une seed phrase sur une machine connectée.

Actifs corrélés

Suivez le cours et nos analyses pour chaque actif lié.

Actifs impactés

Données via Hyperview

À lire ensuite