Introduction
Longtemps considérés comme une cible secondaire, les postes macOS en entreprise sont devenus un terrain de chasse actif pour les groupes cybercriminels. La découverte de PamStealer par les chercheurs de Jamf Threat Labs illustre une rupture qualitative : les infostealers ciblant macOS ne se contentent plus d'imiter leurs homologues Windows, ils développent désormais des techniques propres à l'écosystème Apple, plus discrètes et plus difficiles à contrer.
Une infection en deux temps, pensée pour tromper les défenses
PamStealer se distribue en se faisant passer pour Maccy, un gestionnaire de presse-papiers open source légitime et populaire sur macOS. La victime télécharge une image disque depuis un domaine typosquattant et y trouve un fichier AppleScript compilé. Ce dropper discret télécharge ensuite un second composant : un binaire Mach-O écrit en Rust, qui prend en charge le vol de données proprement dit.
Le choix de Rust n'est pas anodin. Ce langage produit des binaires compacts et difficiles à analyser statiquement, dont les signatures n'alertent pas toujours les outils de sécurité traditionnels.
Valider le mot de passe avant de l'exfiltrer
La technique la plus notable de PamStealer concerne la gestion des identifiants. Après avoir affiché une fausse boîte de dialogue d'authentification, visuellement indiscernable des fenêtres système Apple, le malware ne transmet pas immédiatement le mot de passe saisi. Il le valide d'abord localement en appelant l'API PAM (Pluggable Authentication Modules) de macOS — sans spawner de processus tiers, sans recours à des utilitaires système détectables. Seuls les identifiants confirmés valides sont ensuite exfiltrés vers l'infrastructure d'attaque.
Au-delà du mot de passe de session, le logiciel aspire les bases de données des navigateurs, les secrets du Keychain, les données de portefeuilles de cryptomonnaies et le contenu du presse-papiers, capturé périodiquement via l'utilitaire pbpaste.
Des couches d'évasion soigneusement empilées
PamStealer mobilise plusieurs mécanismes pour rester invisible. Le texte de l'interface frauduleuse intègre des homoglyphes — des caractères cyrilliques ou grecs visuellement identiques aux lettres latines — pour contourner les détections basées sur les chaînes de caractères. La configuration du malware est chiffrée et déverrouillée uniquement à partir d'une empreinte de la machine hôte (architecture CPU, langue système, disposition clavier, fuseau horaire), rendant l'analyse hors contexte peu concluante.
Le composant Rust charge Security.framework dynamiquement à l'exécution plutôt que de le lier statiquement, masquant ses capacités aux analyses de binaires classiques. L'application détecte également les environnements d'analyse et vérifie l'état de System Integrity Protection avant d'agir. Les fuseaux horaires russes et les pays de la CEI sont exclus automatiquement — pratique courante chez les groupes qui cherchent à éviter l'attention des autorités locales.
Ce que les équipes IT doivent en retenir
PamStealer ne surgit pas dans le vide. Les infostealers représentent aujourd'hui la principale catégorie de nouveaux malwares ciblant macOS, avec une hausse de plus de 100 % enregistrée sur les derniers trimestres de 2024. Des familles comme AMOS (Atomic macOS Stealer) sont vendues comme des services clés en main sur des canaux privés, accessibles dès quelques milliers de dollars par mois.
Pour les DSI et RSSI gérant des flottes macOS, ce malware illustre une réalité concrète : la réputation de sécurité de la plateforme Apple ne dispense plus d'une gestion rigoureuse des endpoints. Détecter ces menaces nécessite une visibilité comportementale — surveillance des appels d'authentification inhabituels, des processus lancés sans interface visible, des connexions sortantes vers des domaines inconnus — que les outils antivirus conventionnels assurent rarement seuls.
La question n'est plus de savoir si les Mac d'entreprise seront ciblés, mais avec quelle précision et à quelle vitesse les équipes sauront répondre.

