Une nouvelle variante d’infostealer cible les informations d’identification d’entreprise des utilisateurs Apple.
Le malware MacSync Stealer pour macOS peut désormais infecter les ordinateurs des victimes à l’aide de ce qui semble être une application légitime avec une interaction minimale de l’utilisateur, selon Jamf, fournisseur de gestion des appareils et de sécurité d’Apple.
Jusqu’à présent, les campagnes macOS devaient persuader les utilisateurs de lancer des applications infectées via des techniques relativement intrusives telles que l’ingénierie sociale ClickFix ou la routine macOS de « glisser vers le terminal » pour les utilisateurs experts.
MacSync Stealer, en revanche, est téléchargé à partir d’une URL d’utilitaire d’apparence ordinaire en tant qu’application Swift signée par code et notariée. Une fois que l’utilisateur lance l’installation, le dropper récupère son script de charge utile de malware à partir d’un serveur de commande et de contrôle.
Une bizarrerie est que le téléchargement invite toujours les victimes à le lancer en cliquant avec le bouton droit et en l’ouvrant, même si l’exécutable signé n’en a techniquement pas besoin pour l’infection.
L’innovation réside dans sa provenance trompeuse : comme le malware est signé par ce que macOS considère comme un développeur légitime et ne s’est pas révélé malveillant, aucun avertissement ni mesure supplémentaire n’est nécessaire. Cela attire l’attention sur une faiblesse de la sécurité Gatekeeper d’Apple : les criminels peuvent constamment reformuler leurs logiciels malveillants pour échapper au système automatisé de détection et de notarisation d’Apple.
Cela donne aux attaquants une fenêtre d’exploitation. Selon Jamf, les informations d’identification du certificat du malware n’ont été révoquées qu’après que la société a signalé le problème à Apple.
Signe d’expansion
MacSync Stealer est le dernier exemple d’un nombre croissant de logiciels malveillants macOS à motivation économique. Le but est de voler les données des utilisateurs de grande valeur, notamment les informations d’identification du compte, les clés API et les données du portefeuille cryptographique.
Les origines du malware remontent à un ancien voleur d’informations Mac, Mac.c Stealer, dont l’attrait était qu’il pouvait être acheté à bas prix par des cybercriminels en herbe. Cependant, quelques semaines après son apparition en avril, celui-ci a été rebaptisé MacSync et des fonctionnalités plus avancées ont été ajoutées.
Un autre voleur de macOS, l’infostealer Odyssey, a également été observé utilisant la même technique de distribution.
« Bien que MacSync Stealer lui-même ne soit pas entièrement nouveau, cette affaire met en évidence la manière dont ses auteurs continuent de faire évoluer leurs méthodes de diffusion », a déclaré Jamf.
« Ce changement de distribution reflète une tendance plus large dans le paysage des malwares macOS, où les attaquants tentent de plus en plus d’introduire leurs malwares dans des exécutables signés et notariés, leur permettant de ressembler davantage à des applications légitimes. »
Même si le « marché » des logiciels malveillants pour Mac peut sembler faible en volume par rapport à celui de Windows, cela reflète en grande partie le fait que les PC restent le principal système d’exploitation utilisé par les entreprises. Néanmoins, les criminels ont remarqué que le temps de développement supplémentaire requis pour les logiciels malveillants sur Mac en vaut de plus en plus la peine.
Parmi les exemples ciblant les entreprises et les particuliers de grande valeur à partir de 2025, citons la famille macOS Ferret et les campagnes sur les réseaux sociaux BlueNoroff associées à des pirates informatiques nord-coréens, toutes deux liées au vol de cryptomonnaies. Un autre exemple est le voleur d’informations Atomic malware-as-a-service (MaaS) associé aux cybercriminels russes.
