Comment supprimer le malware PamStealer (Mac)

Logiciels malveillants spécifiques à Mac

Également connu sous le nom de: virus PamStealer

Niveau de dommage:

Obtenez une analyse gratuite et vérifiez si votre ordinateur est infecté.

SUPPRIMEZ-LES MAINTENANT

Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Quel type de malware est PamStealer ?

PamStealer est un stealer d'informations en deux étapes qui cible les utilisateurs de macOS. Selon des recherches publiées par Jamf Threat Labs, le malware se déguise en Maccy, un véritable gestionnaire de presse-papiers open source, pour inciter les victimes à l'exécuter elles-mêmes.

La première étape est un AppleScript compilé qui télécharge une seconde charge utile basée sur Rust. Si PamStealer est détecté sur un Mac, il doit être supprimé immédiatement.

Faux site web utilisé pour distribuer le malware PamStealer

Présentation de PamStealer

Les chercheurs de Jamf ont découvert que PamStealer arrive à l'intérieur d'une image disque contenant un fichier nommé Maccy.scpt. On indique aux victimes d'ouvrir ce fichier dans l'Éditeur de script et d'appuyer sur ⌘+R pour « démarrer », ce qui exécute en réalité le script malveillant.

Une fois en cours d'exécution, la première étape profile le Mac en vérifiant l'architecture de son processeur, sa langue, sa disposition de clavier et son fuseau horaire. Si l'appareil semble situé en Russie, en Biélorussie, au Kazakhstan ou dans des pays voisins, le malware cesse tout simplement de fonctionner.

Le script recherche également des outils de débogage et le System Integrity Protection avant de télécharger la seconde étape, un exécutable Mach-O écrit en Rust. Cette étape porte une signature de code ad hoc et est dissimulée à l'intérieur d'un faux dossier système conçu pour ressembler à Finder ou à un composant de mise à jour logicielle.

Quelles données PamStealer dérobe-t-il ?

PamStealer est conçu pour dérober un large éventail d'informations sensibles. Il lit les identifiants de connexion directement via le système PAM de macOS, sans avoir besoin d'ouvrir une fenêtre Terminal visible.

Le malware ouvre également les bases de données d'identifiants des navigateurs avec SQLite pour récupérer les mots de passe enregistrés, les cookies et les données appartenant aux extensions de portefeuilles de cryptomonnaie. Il exécute à plusieurs reprises la commande pbpaste pour surveiller et copier tout ce qui est placé dans le presse-papiers.

De plus, PamStealer charge le framework Security d'Apple lors de l'exécution pour extraire des données du Trousseau, le gestionnaire de mots de passe intégré de macOS. Si la victime accorde ultérieurement l'accès complet au disque, le malware peut également atteindre des fichiers protégés ailleurs sur le système.

Comment PamStealer évite-t-il d'être détecté ?

Le malware s'appuie sur une demande de permission différée. Plutôt que de demander l'accès complet au disque immédiatement, il peut attendre jusqu'à 40 minutes avant d'afficher l'invite, ce qui rend plus difficile de relier la demande au téléchargement d'origine.

PamStealer affiche également un faux message d'erreur de type Gatekeeper comme leurre, et il déguise ses invites d'autorisation à l'aide d'une fenêtre d'alerte native de macOS afin qu'elles ressemblent à une demande système normale plutôt qu'à une demande provenant d'un logiciel inconnu.

Selon Jamf, le faux site web utilisait même des caractères grecs et cyrilliques ressemblants, une technique connue sous le nom d'attaque par homoglyphes, dans certaines parties de son contenu pour échapper aux scanners automatisés basés sur le texte.

Persistance et communication avec les attaquants

Pour rester installé après un redémarrage, PamStealer s'enregistre deux fois comme élément de connexion, une fois via l'API moderne ServiceManagement d'Apple et une fois via une interface plus ancienne et héritée intégrée dans un exécutable auxiliaire.

Les données volées sont envoyées vers un serveur distant à l'adresse avenger-sync[.]live, acheminées via Cloudflare et chiffrées avec ChaCha20-Poly1305. La configuration du malware répertorie également des points de terminaison du réseau Ethereum, ce qui indique un intérêt pour le vol de cryptomonnaie.

Résumé de la menace :
Nom virus PamStealer
Type De Menace Malware Mac, virus Mac, stealer, virus voleur de mots de passe.
Symptômes Les stealers sont conçus pour infiltrer furtivement l'ordinateur de la victime et rester silencieux, de sorte qu'aucun symptôme particulier n'est clairement visible sur une machine infectée.
Noms De Détection Combo Cleaner (Trojan.GenericKD.80674484), ESET-NOD32 (OSX/PSW.Agent.IY Trojan), Emsisoft (Trojan.GenericKD.80674484 (B)), Symantec (OSX.Trojan.Gen), Liste Complète Des Détections (VirusTotal)
Méthodes De Distribution Possibles Faux sites web usurpant l'identité de logiciels légitimes, fichiers image disque (DMG) déguisés, ingénierie sociale.
Dommages Mots de passe et informations bancaires volés, usurpation d'identité, cryptomonnaie volée, pertes financières, infections supplémentaires possibles.
Suppression des maliciels
(Windows)

Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner.

Téléchargez Combo Cleaner

Un scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Conclusion

PamStealer est un malware capable de collecter discrètement les mots de passe, les données du Trousseau, les informations des navigateurs et des portefeuilles de cryptomonnaie, ainsi que le contenu du presse-papiers d'un Mac infecté. Comme il se cache derrière une fausse copie d'une véritable application et retarde ses demandes les plus suspectes, les victimes peuvent ne rien remarquer d'anormal avant que leurs comptes ou leurs fonds ne soient déjà compromis.

Quelques exemples de voleurs d'informations sont ShadeStager, Infiniti et Miolab.

Comment PamStealer s'est-il infiltré dans mon appareil ?

PamStealer se propage via un faux site web, maccyapp[.]com, conçu pour ressembler à la page de téléchargement de Maccy, un gestionnaire de presse-papiers légitime et populaire pour Mac. Le véritable projet Maccy n'est distribué qu'à partir de maccy.app, et son site officiel avertit même les visiteurs des pages imitatrices.

On indique aux victimes qui téléchargent la fausse image disque d'ouvrir un fichier nommé Maccy.scpt dans l'Éditeur de script et d'appuyer sur ⌘+R pour « démarrer ». C'est cette étape qui exécute en réalité le script malveillant et lance l'infection au lieu d'installer la véritable application.

Au-delà de cette campagne spécifique, les malwares Mac sont souvent diffusés de la même manière : fausses pages de téléchargement, publicités malveillantes, logiciels crackés, fausses mises à jour de navigateur ou de système, et pièces jointes déguisées dans des e-mails et messages de phishing.

Comment éviter les malwares ?

Ne téléchargez des logiciels qu'à partir du site web officiel du développeur ou du Mac App Store, et vérifiez soigneusement le domaine avant de faire confiance à une page de téléchargement, en particulier pour les utilitaires plus petits et moins connus.

Méfiez-vous de tout programme d'installation qui vous demande d'ouvrir et d'exécuter manuellement un script via l'Éditeur de script ou le Terminal. Les applications Mac légitimes n'ont pas besoin de ce genre d'étape manuelle pour « démarrer ».

Si votre ordinateur est déjà infecté, nous vous recommandons d'exécuter une analyse avec Combo Cleaner Antivirus pour Windows pour éliminer automatiquement toutes les menaces.

Le faux site web (maccyapp[.]com) distribuant PamStealer, imitant la véritable page de téléchargement de Maccy :

Faux site web maccyapp.com distribuant le malware PamStealer

Instructions trompeuses affichées pour inciter les victimes à exécuter manuellement le script malveillant :

Fausses instructions étape par étape utilisées pour lancer PamStealer

Le véritable site web de Maccy (maccy.app) avertissant les visiteurs des pages imitatrices :

Site web officiel de Maccy avertissant des faux sites web

Suppression automatique et instantanée des maliciels :

La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :

TÉLÉCHARGEZ Combo Cleaner

En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Menu rapide :

Suppression des applications indésirables :

Supprimez les applications potentiellement indésirables de votre dossier « Applications » :

Suppression manuelle des applications Mac malveillantes

Cliquez sur l'icône Finder. Dans la fenêtre Finder, sélectionnez « Applications ». Dans le dossier des applications, recherchez « MPlayerX », « NicePlayer » ou d'autres applications suspectes et faites-les glisser vers la Corbeille. Après avoir supprimé la ou les applications potentiellement indésirables qui provoquent des publicités en ligne, analysez votre Mac pour détecter tout composant indésirable restant.

TÉLÉCHARGEZ le programme de suppression des infections malveillantes

Combo Cleaner vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Foire aux questions (FAQ)

Mon appareil est infecté par le malware PamStealer, dois-je formater mon périphérique de stockage pour m'en débarrasser ?

Cela supprimera entièrement PamStealer, mais cela effacera également tout ce qui est stocké sur l'appareil. Avant de prendre une mesure aussi radicale, il est généralement recommandé d'essayer d'abord un outil anti-malware fiable comme Combo Cleaner.

Quels sont les plus gros problèmes que les malwares peuvent causer ?

PamStealer extrait et exfiltre des données des appareils infectés, notamment des mots de passe, des entrées du Trousseau, des données de navigateur et le contenu du presse-papiers. Les infections de ce type peuvent entraîner le piratage de comptes, le vol de cryptomonnaie, l'usurpation d'identité et d'autres pertes financières.

Quel est l'objectif du malware PamStealer ?

L'objectif de PamStealer est de dérober des données sensibles des appareils macOS infectés, notamment les identifiants de connexion, les mots de passe du Trousseau, les données des navigateurs et des portefeuilles de cryptomonnaie, ainsi que tout ce qui est copié dans le presse-papiers.

Comment le malware PamStealer s'est-il infiltré dans mon ordinateur ?

PamStealer est distribué via un faux site web qui imite le véritable gestionnaire de presse-papiers Maccy. Les victimes sont guidées pour ouvrir un script déguisé dans l'Éditeur de script et l'exécuter manuellement, ce qui installe silencieusement le malware en arrière-plan.

Combo Cleaner me protégera-t-il des malwares ?

Oui, Combo Cleaner peut détecter et supprimer la plupart des infections de malwares connues. Gardez à l'esprit qu'il est essentiel d'exécuter une analyse complète du système, car les malwares sophistiqués comme PamStealer se cachent généralement en profondeur dans le système.

Partager:

facebook
X (Twitter)
linkedin
copier le lien
Tomas Meskauskas

Tomas Meskauskas

Chercheur expert en sécurité, analyste professionnel en logiciels malveillants

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne.

▼ Montrer la discussion

Le portail de sécurité PCrisk est proposé par la société RCS LT.

Des chercheurs en sécurité ont uni leurs forces pour sensibiliser les utilisateurs d'ordinateurs aux dernières menaces en matière de sécurité en ligne. Plus d'informations sur la société RCS LT.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

Faire un don