Un nouveau variant de malware ciblant macOS refait surface, ravivant des menaces dormant depuis 2022. Ce logiciel malveillant, nommé XCSSET, utilise des techniques d’obfuscation avancées et vise à infiltrer des projets Xcode, rendant les appareils Apple vulnérables. Restez vigilant face à cette menace grandissante.
Microsoft a observé un ancien malware macOS, désormais actif, qui cible tous les types de dispositifs Apple. Microsoft Threat Intelligence a partagé des informations sur ce malware dans un post sur X, indiquant qu’il s’agit d’une nouvelle version de XCSSET apparue en 2022. Les experts en sécurité ont expliqué que ce malware mis à jour dispose de méthodes d’obfuscation améliorées, de mécanismes de persistance actualisés et de nouvelles stratégies d’infection.
Microsoft Threat Intelligence a découvert un nouvel variant de XCSSET, un malware macOS modulaire sophistiqué qui cible les utilisateurs en infectant les projets Xcode. Bien que nous ne voyons ce nouveau variant XCSSET que dans des attaques limitées pour le moment, nous partageons cette information… pic.twitter.com/oWfsIKxBzB
— Microsoft Threat Intelligence (@MsftSecIntel) 17 février 2025
TechRadar a noté que le malware XCSSET est essentiellement un voleur d’informations, capable d’attaquer les porte-monnaie numériques, de rassembler des données provenant de l’application Apple Notes et de collecter des informations système et des fichiers.
Ce malware est particulièrement dangereux car il utilise des projets infectés dans la plateforme Xcode d’Apple pour infiltrer les dispositifs. Xcode est l’environnement de développement intégré (IDE) officiel qu’Apple propose pour la création d’applications destinées à ses différents systèmes d’exploitation, y compris macOS, iOS, iPadOS, watchOS et tvOS. L’environnement comprend un éditeur de code, un débogueur, un générateur d’interface et des outils pour tester et déployer des applications, a ajouté la publication.
Comme mentionné, le variant mis à jour de XCSSET comprend des processus permettant au malware de mieux s’obscurcir au sein de Xcode. Pour ce faire, il utilise deux techniques, appelées “zshrc” et “dock”. La première attaque permet au malware de créer un fichier, ~/.zshrc_aliases, contenant les données infectées. Ensuite, il ajoute une commande dans le fichier ~/.zshrc, qui incitera le fichier infecté à se lancer chaque fois qu’une nouvelle session shell est initiée. Cela garantira que le malware continuera à se répandre avec des sessions shell supplémentaires.
Avec la deuxième attaque, le malware télécharge un outil dockutil signé à partir d’un serveur de commandement et de contrôle pour gérer les éléments du dock, a expliqué Microsoft. Ensuite, il crée une application Launchpad factice pour remplacer l’entrée de chemin de l’application Launchpad réelle sur le dock du dispositif. Lorsqu’un utilisateur exécute Launchpad sur un appareil infecté, l’application Launchpad réelle et la version malware s’exécutent toutes les deux, permettant ainsi la propagation de XCSSET.
Microsoft Threat Intelligence a précisé qu’il n’a vu ce nouveau variant de malware que dans des attaques limitées et qu’il partage des informations sur cette menace afin que les utilisateurs et les organisations puissent prendre des mesures de précaution.