Un nouveau malware macOS baptisé PamStealer cible activement les utilisateurs de Mac en se faisant passer pour le gestionnaire de presse-papiers open-source Maccy. Découvert par des chercheurs en cybersécurité, il aspire mots de passe système, identifiants de navigateur, données du Keychain et clés privées de wallets crypto, avant d’exfiltrer l’ensemble vers un serveur distant.
Au programme
- PamStealer usurpe l’identité du gestionnaire Maccy et siphonne identifiants, Keychain et wallets
- Le malware sollicite un accès complet au disque via une fausse alerte Finder, parfois 40 minutes après l’infection
- Les clés privées et le presse-papiers sont les cibles prioritaires, rendant l’auto-custodie crypto vulnérable
Comment PamStealer infecte-t-il un Mac ?
Le piège repose sur une fausse application de presse-papiers distribuée en dehors du Mac App Store. Une fois téléchargée et exécutée, elle déploie un exécutable malveillant qui imite Maccy, un outil légitime utilisé par des développeurs. PamStealer récupère immédiatement le mot de passe de session macOS et scanne les navigateurs (Chrome, Safari, Firefox) à la recherche d’identifiants stockés. Il accède au trousseau iCloud et surveille en continu le contenu du presse-papiers : pratique pour capter une seed phrase ou une adresse de destination collée avant une transaction.
La collecte ne se limite pas à la sphère traditionnelle : le malware cible aussi les clés privées de portefeuilles logiciels installés sur la machine. La surface d’exposition est large, comparable aux risques déjà documentés avec TrapDoor.
Pourquoi ce malware représente une menace accrue pour les détenteurs de crypto ?
PamStealer ajoute une couche d’ingénierie sociale retardée. Environ 40 minutes après l’infection initiale, il affiche une fausse fenêtre système se faisant passer pour « Finder » ou « Software Update » et demande un accès complet au disque. L’utilisateur, pensant valider une mise à jour légitime, accorde le droit. Le malware peut alors fouiller l’intégralité du stockage : fichiers de config, sauvegardes de portefeuilles, images de disque et exports CSV d’historique de transactions.
Cette méthode d’infection en deux temps lui permet d’extraire des données même sur des machines où l’utilisateur a isolé ses wallets dans un dossier chiffré. Elle rappelle la logique du malware Android Godfather, qui usurpait 484 applications financières après obtention des permissions de service d’accessibilité.
Comment se protéger contre cette nouvelle vague d’infostealers ?
Le vecteur d’infection étant un faux logiciel téléchargé manuellement, la première défense consiste à vérifier l’origine de toute application avant installation. Télécharger Maccy depuis son dépôt GitHub officiel ou via Homebrew reste sûr ; éviter les sources non vérifiées, a fortiori les DMG trouvés sur des forums ou des liens sponsorisés.
Pour les utilisateurs détenant des wallets crypto en auto-custodie, le choix d’un hardware wallet isolé des systèmes d’exploitation généraux constitue un rempart efficace. Un cold wallet signe les transactions hors ligne, rendant la capture des clés par un infostealer sans effet. Les solutions logicielles type MPC offrent également une résistance accrue.
Maintenir macOS à jour corrige les failles connues sur lesquelles certains malwares s’appuient pour escalader les privilèges. La règle du test d’intrusion appliquée aux wallets matériels rappelle qu’aucune solution n’est infaillible sans vérification indépendante.
Questions fréquentes
Qu’est-ce que PamStealer ?
PamStealer est un infostealer macOS qui se fait passer pour le gestionnaire de presse-papiers open-source Maccy. Une fois installé, il vole mots de passe système, identifiants de navigateur, données du Keychain et clés privées de portefeuilles crypto.
Comment savoir si mon Mac est infecté par PamStealer ?
L’application malveillante ne provient pas du Mac App Store. Vérifiez les logiciels récemment installés et surveillez toute demande suspecte d’accès au disque émanant d’une fausse fenêtre Finder ou Software Update. Les outils de détection comme BlockBlock surveillent la persistance.
Les hardware wallets sont-ils protégés contre ce type de malware ?
Oui. Un hardware wallet stocke les clés privées sur un composant sécurisé dédié, hors de portée du système d’exploitation macOS. Même si PamStealer compromet la machine, il ne peut pas extraire une clé qui n’y réside jamais en clair.
Que faire si j’ai installé cette fausse application ?
Déconnectez immédiatement le Mac d’Internet, changez tous les mots de passe depuis un autre appareil, et déplacez les fonds crypto vers un nouveau wallet aux clés non compromises. Une réinstallation propre de macOS est recommandée.
À retenir
PamStealer combine hameçonnage logiciel et escalade de privilèges différée pour siphonner l’ensemble des secrets numériques d’un utilisateur, wallets crypto compris. La vigilance sur l’origine des applications et le recours à un cold wallet restent les 2 mesures de protection les plus immédiates face à ce type de menace.
Sources
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash
-
HACKS & SÉCURITÉArnaque ONUS Vietnam : 350 kg d’or saisis, 300 comptes gelés