Les chercheurs en sécurité ont documenté une nouvelle campagne pour les utilisateurs de macOS qui combine l'ingénierie sociale convaincante avec une technique d'emballage qui complique l'analyse médico-légale. L'acteur derrière cette opération distribue une information de voleur nommé Infinity Stealer et profite d'un piège visuel qui imite les écrans de vérification humaine pour pousser la victime à exécuter le code dans Terminal.
La porte d'entrée de l'attaque est un site Web qui prétend être l'étape de validation humaine (quelque chose que de nombreux services, comme Cloudflare, utilisent légitimement). Au lieu de forcer le navigateur à résoudre un défi graphique, le web vous demande de copier et de coller dans Terminal une commande de boucle encodée dans base64. Ce geste, apparemment inoffensif pour ceux qui font confiance à une fausse vérification, défigure et lance une séquence bash qui télécharge et écrit un deuxième composant dans / tmp, annule le drapeau de quarantaine du fichier et l'exécute en arrière-plan. Le résultat est que le système saute les protections de l'utilisateur et commence une chaîne d'étapes malveillantes sans interaction supplémentaire.
Ce qui distingue cette campagne Ce n'est pas seulement l'astuce visuelle, connue dans la recherche comme ClickFix, mais comment la charge utile principale est construite : c'est le code Python compilé avec le projet open source de Nuitka. Contrairement aux utilitaires comme PyInstaller, qui emballent l'interpréteur et le bytecode Python dans un conteneur reconnaissable, Nuitka convertit le code Python en C et génère un binaire natif. Cela produit un véritable exécutable Mach-O qui est beaucoup plus résistant aux techniques d'analyse statique classiques et complique l'ingénierie inverse.
Les conclusions techniques publiées par les analystes qui ont étudié la campagne fournissent des détails inquiétants. Le chargeur initial compilé avec Nuitka est un binaire multi-mégaoctets qui contient un grand fichier compressé avec zstd; à l'intérieur est l'étape finale de l'infostealer. Avant de commencer à recueillir des informations, les logiciels malveillants effectuent une série de vérifications pour déterminer s'il est exécuté dans un environnement virtualisé ou dans un bac à sable, vous permettant d'éviter les environnements automatisés d'analyse et de recherche.
Une fois déployé, le composant Python (qui passe sur Python 3.11 dans les cas analysés) comprend les capacités typiques des rongeurs d'identification : capture de pantalons, suppression des identifiants des navigateurs basés sur Chrome et Firefox, exfiltration des entrées de la clé macOS, emplacement des portefeuilles cryptomoneda et recherche de secrets dans des fichiers de développement tels que .env. Tout est envoyé au serveur de commande et de contrôle par requêtes HTTP POST et, en outre, les opérateurs reçoivent une notification Telegram à la fin de l'opération, en profitant de l'API de démarrage sur cette plate-forme.
Le rapport technique qui décrit la campagne elle-même souligne que, pour autant que les observations atteignent, c'est la première campagne documentée qui combine la livraison de ClickFix avec un infostealer écrit en Python et compilé avec Nuitka dans macOS. Cette combinaison d'ingénierie sociale et d'emballage natif est une avancée dans la capacité des attaquants à éviter les détections traditionnelles et ralentit le travail des équipes d'intervention.
Pourquoi Nuitka complique la détection ? Parce qu'il laisse des signaux moins typiques de logiciels malveillants Python: il n'y a pas de couche évidente d'octécode que les outils et les analystes cherchent à démanteler la logique; au lieu d'un binaire natif apparaît que, au niveau de la signature et de la structure, est beaucoup plus comme une application légitime. Si cela est ajouté à l'obfuscation en plusieurs étapes (fichiers compressés dans l'exécutable, utilisation de variables d'environnement pour passer des jetons, suppression des traces à la fin de l'exécution), la tâche de l'intelligence et de l'analyse manuelle devient beaucoup plus laborieuse.
Si vous voulez lire l'analyse technique originale et les indicateurs recueillis par les chercheurs, la recherche est disponible sur le blog Malharebytes: Malhareoctets - Infiniti Stealer. Pour mieux comprendre les différences techniques entre les outils d'emballage Python, vous pouvez consulter la documentation de Nuitka et PyInstallateur. Et si vous êtes intéressé à savoir comment les contrôles humains légitimes fonctionnent sur le web, la documentation de Cloudflare sur les systèmes de vérification (turnstile) est un bon point de référence: Toursile nuageux. De plus, la façon dont les opérateurs communiquent les résultats par l'intermédiaire des robots peut être basée sur l'API publique de Télégramme : API Telegram Bot.
Pour les utilisateurs et les administrateurs, cela laisse des leçons claires. Premièrement, vous ne devriez jamais coller dans les commandes Terminal collectées à partir de pages Web ou de messages sans comprendre exactement ce qu'ils font ; cette pratique est la porte d'entrée la plus répétée dans des campagnes comme celle-ci. Deuxièmement, il est recommandé de renforcer les politiques de mise en œuvre dans les machines macOS: appliquer les contrôles Gatekeeper, garder le système et les applications à jour, et envisager des solutions de protection des paramètres qui inspectent les comportements inhabituels, pas seulement les signatures statiques. Apple dispose de documents qui vous aident à comprendre comment Gatekeeper et fichier quarantaine aident à protéger l'équipement: Assistance Apple - Problèmes pour installer ou ouvrir des applications.
Si vous soupçonnez d'avoir été victime de ce type d'infection, il est recommandé de déconnecter la machine du réseau, d'éviter de réutiliser des identifiants qui auraient pu être exposés, de modifier les mots de passe d'un autre appareil sécuritaire et de contacter les services d'intervention ou d'utiliser des outils de confiance pour rechercher des artefacts connus. Dans les environnements d'entreprise, bloquer l'exécution de binaires non signés à l'aide de MDM et examiner les journaux de terminaux et les connexions sortantes peut aider à détecter les engagements précoces.
Le cas de Infinity Stealer est un rappel que les menaces dans macOS continuent d'évoluer : les agresseurs combinent tactique psychologique avec les techniques d'obfuscation et d'emballage pour maximiser l'impact et minimiser la possibilité d'être analysés. Maintenir une suspicion raisonnable contre les fenêtres émergentes, les défis de vérification ou les instructions pour coller des commandes et renforcer les politiques de sécurité sont des mesures simples qui, à long terme, peuvent faire la différence entre une peur et un fossé.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...