Un nouveau malware, MacSync Stealer, cible les utilisateurs de macOS en exploitant les mécanismes de confiance du système. Les chercheurs en cybersécurité ont identifié des méthodes de distribution trompeuses, rendant son déploiement plus insidieux qu’auparavant. La vigilance est de mise pour préserver la sécurité des données personnelles.
Bien que macOS soit réputé pour sa sécurité, les menaces persistantes avec des malwares continuent d’émerger. Des chercheurs en cybersécurité ont détecté une recent déclinaison du malware MacSync Stealer, qui exploite les mécanismes de confiance de macOS pour contourner des protections natives comme le Gatekeeper et le XProtect.
Les attaquants utilisent une application en Swift, correctement signée et authentifiée, qui, à elle seule, ne contient pas de code malveillant.
Cependant, ce logiciel télécharge un script chiffré depuis un serveur distant, lequel est ensuite exécuté pour installer le malware sur l’ordinateur.
Distribution par des installateurs légitimes
Contrairement aux versions précédentes qui nécessitaient des commandes sur le Terminal ou des manœuvres d’ingénierie sociale, le nouveau MacSync est distribué via un installateur semblant authentique : une application en Swift signée et notarivée, masquée en tant qu’installateur d’un prétendu messager (zk-Call & Messenger).
Cette approche permet au malware de devoir passer les protections du macOS sans éveiller de soupçon, le système faisant confiance aux applications avec une signature valide.
Le fichier d’installation, d’environ 25,5 Mo, inclut également de faux documents pour paraître plus crédible.
Qu’est-ce que MacSync ?
Le MacSync est un malware de type stealer ciblant macOS, conçu pour siphonner des informations sensibles. Il se distingue par l’utilisation d’une application Swift authentiquement signée et approuvée par Apple, lui permettant de contourner initialement des mécanismes de sécurité comme le Gatekeeper.
Le logiciel utilisé comme installateur ne contient pas de code malveillant visible. Au lieu de cela, il agit comme un intermédiaire, téléchargeant un script chiffré depuis un serveur distant. Ce script est ensuite exécuté pour installer le véritable composant malveillant.
Une fois actif, MacSync est capable de collecter des identifiants, des données systèmes, des informations de navigateurs et des portefeuilles de cryptomonnaies, envoyant toutes ces informations vers des serveurs contrôlés par les attaquants. Cet modus operandi complique la détection de la menace et souligne l’importance de télécharger des logiciels uniquement depuis des sources officielles et de garder macOS à jour.
Comment se déroule l’attaque
Après installation, le dropper vérifie la connexion Internet et télécharge un script codé qui s’exécute en arrière-plan. Ce script installe le composant malveillant, qui commence à infiltrer le système et à capturer des données sensibles telles que des identifiants et des informations sur les portefeuilles de cryptomonnaies.
Les créateurs du MacSync ont abusé d’un certificat de développeur Apple (Team ID) pour signer l’application, facilitant ainsi l’exécution de l’installateur. Suite à sa découverte, Apple a révoqué le certificat associé.
Risques et recommandations
Cette évolution du MacSync démontre que les mécanismes de confiance numérique peuvent être manipulés par des cybercriminels pour masquer des malwares en logiciels légitimes, compliquant leur détection par des outils habituels.
Pour éviter des infections, les experts recommandent de toujours vérifier les installateurs, de télécharger des logiciels uniquement depuis des sources officielles et de maintenir les défenses du système à jour.
Cette recherche met en lumière la nécessité d’outils de sécurité complémentaires et d’une vigilance constante, notamment dans des environnements d’entreprise utilisant des Macs.