Alerte sur le Malware MacSync Stealer
La société de sécurité blockchain SlowMist a récemment alerté sur un nouveau malware macOS particulièrement destructeur, nommé « MacSync Stealer » (v1.1.2). Cette campagne malveillante cible spécifiquement les utilisateurs d’Apple dans le but de vider leurs portefeuilles de cryptomonnaie et d’exfiltrer des informations d’identification sensibles.
Tactiques de Manipulation Sociale
Les cybercriminels utilisent des tactiques de manipulation sociale trompeuses pour contourner les défenses des utilisateurs. Le malware se sert de faux dialogues système AppleScript qui imitent les invites de mot de passe légitimes de macOS, afin de récupérer les informations d’identification de connexion des victimes. Une fois que l’utilisateur a été piégé, le malware exfiltre silencieusement ses données en arrière-plan. Pour ne pas éveiller les soupçons, MacSync Stealer affiche un faux message d’erreur « non pris en charge » immédiatement après l’extraction des données, donnant ainsi l’impression que l’application a simplement échoué à se lancer.
Informations Ciblées
En plus de cibler les utilisateurs de cryptomonnaie, ce malware s’attaque également aux informations d’identification des navigateurs, aux trousseaux de macOS, ainsi qu’à des clés d’infrastructure critiques, y compris les informations d’identification SSH, AWS et Kubernetes (K8s).
Autres Campagnes Malveillantes
Ce phénomène n’est pas isolé. L’équipe de sécurité de Bybit a récemment découvert une campagne de malware visant les utilisateurs de macOS, baptisée « Claude Code ». De plus, Microsoft Threat Intelligence a révélé une campagne macOS hautement ciblée orchestrée par « Sapphire Sleet », un acteur de menace soutenu par l’État nord-coréen. Sapphire Sleet utilise des techniques d’ingénierie sociale avancées pour usurper les mises à jour logicielles légitimes de macOS et voler des portefeuilles de cryptomonnaie.
Adaptation des Méthodes d’Attaque
Il est également important de mentionner le malware « Infinity Stealer », qui a démontré comment les méthodes d’attaque initialement conçues pour Windows peuvent être adaptées à macOS. Ce dernier utilise la technique « ClickFix » pour présenter aux victimes une fausse page CAPTCHA. Par ailleurs, la société de cybersécurité SOC Prime a identifié « MioLab », un voleur d’informations macOS distribué commercialement, spécifiquement conçu pour cibler des victimes de grande valeur, y compris les détenteurs de cryptomonnaie.
