Au cours des derniers mois, les équipes de réaction aux menaces ont vu un changement de paradigme : les campagnes qui volent les lettres d'identité et les secrets ne sont plus un problème exclusif de Windows et commencent à prospérer dans macOS. Selon l'équipe de recherche de Microsoft sur la sécurité, les attaquants profitent de langages multiplateformes tels que Python et des réseaux de distribution de confiance pour infecter les utilisateurs Apple avec des installateurs et des techniques frauduleux qui évitent la détection traditionnelle.
La porte d'entrée est généralement une pièce bien polie d'ingénierie sociale. annonces malveillantes et des pages construites pour ressembler à des téléchargements légitimes mènent les victimes à la recherche d'outils populaires - par exemple, les utilitaires liés à l'IA ou les bibliothèques - aux installateurs DMG-format qui, lors de l'exécution, déployer des familles d'infostealers spécifiques MacOS. Microsoft documente des campagnes qui utilisent des oignons de type ClickFix, une technique qui trompe l'utilisateur pour copier et coller des commandes ou installer ce qu'il pense être une correction ou un outil utile; le résultat est l'auto-infection de l'ordinateur avec des logiciels malveillants capables d'exfilter des mots de passe, des cookies et d'autres secrets.
Les noms figurant dans les rapports comprennent des familles comme Atomic macOS Stealer (AMOS), MacSync et DigitStealer. Dans d'autres cas, les mêmes outils basés sur Python facilitent la réutilisation et l'adaptation du code pour plusieurs systèmes d'exploitation, accélérant l'expansion de ces attaques vers des environnements hétérogènes. Microsoft explique ces observations plus en détail dans son analyse technique: Infos sans frontières.
La technique des attaquants ne se limite pas à installer un binaire malveillant: de nombreuses campagnes utilisent l'exécution sans fichiers persistants, ont recours aux utilitaires macOS natifs et AppleScript pour automatiser les tâches malveillantes, et manipulent le système pour collecter des informations sensibles telles que les identifiants sauvegardés par navigateur, les données de session et les iCloud Keychain. Le risque n'est pas seulement la perte de mots de passe personnels; il y a aussi des développements secrets et des jetons qui permettent l'accès à l'infrastructure interne, ce qui peut entraîner des intrusions majeures, des transplantations de courrier d'entreprise (BEC), des attaques de la chaîne d'approvisionnement ou même des extorsions et des ransomwares.
La distribution de masse passe souvent par le dumping et le référencement : des campagnes qui paient des annonces ou manipulent les résultats de recherche pour rediriger vers des pages clonées d'outils populaires. Google Ads et d'autres plateformes publicitaires ont été mentionnés comme vecteurs qui, sans examen supplémentaire de l'utilisateur, peuvent conduire à des téléchargements apparemment légitimes. Pour comprendre comment les publicités malveillantes et les pratiques de qualité de l'inventaire publicitaire influencent cela, lisez les politiques et les recommandations de Google Ads sur le contenu malveillant: Google Politiques d'annonces.
Les campagnes ont également montré des variations géographiques et opérationnelles : par exemple, des chercheurs ont associé certains voleurs écrits en Python à des acteurs de langue vietnamienne et ont documenté l'utilisation de services de messagerie tels que Telegram à des commandes de canaux et à des données de filtrage. Dans d'autres incidents, WhatsApp a été utilisé pour diffuser des liens malveillants qui conduisent à des installations trompeuses, comme l'ont signalé les équipes d'intervention en cas d'incident dans l'analyse publique de ces familles de logiciels malveillants.
Que peut faire une personne ou une organisation pour se protéger? Premièrement, les installateurs méfiants qui apparaissent derrière les clics dans les annonces ou les sites qui imitent les outils connus. Dans macOS, respectez les contrôles de sécurité natifs - comme Gatekeeper - et assurez-vous d'installer le logiciel uniquement des développeurs vérifiés ou de l'App Store réduit la surface d'attaque. Apple maintient la documentation sur iCloud Keychain et ses mesures de sécurité qu'il est utile de revoir: Qu'est-ce que iCloud Keychain?. De plus, la mise à jour du système d'exploitation et des signatures de sécurité, ainsi que l'utilisation de mots de passe et de gestionnaires d'authentification multifacteurs, limitent les dommages en cas de compromis.
À partir de la position de détection technique, les équipes de sécurité devraient prêter attention au comportement atypique dans Terminal, les exécutions injustifiées AppleScript, l'accès à la clé (Keychain) par des processus inattendus et le trafic de sortie, y compris les requêtes POST aux domaines nouvellement enregistrés ou relégués. La surveillance de l'évacuation et de la corrélation avec les harengs de renseignement de domaine malveillants aident à identifier les fuites avant qu'elles ne deviennent des incidents majeurs. Il est également utile d'examiner les guides d'intervention d'hameçonnage et les techniques de vol d'accréditation publiées par les équipes de sécurité nationale, comme les recommandations du CNSC : Conseils sur l'hameçonnage.
Dans des environnements mixtes, où MacOS et Windows coexistent, les attaquants utilisent les mêmes chaînes d'infection pour déployer des voleurs sur chaque plateforme. Dans Windows, il n'est pas rare de voir la persistance par des clés d'enregistrement ou des tâches programmées ; dans macOS la persistance peut essayer de camoufler derrière des agents utilisateurs ou des emplois de cron. Par conséquent, une protection efficace combine prévention, détection et réponse rapide: formation continue des utilisateurs sur l'ingénierie sociale, contrôles techniques qui limitent l'exécution de logiciels non autorisés et règles de réseau pour bloquer les domaines et services utilisés par les acteurs malveillants.
Les chercheurs mettent en garde contre le fait que l'escalade de ces attaques, entraînée par des langages réutilisables tels que le Python et l'exploitation de canaux de distribution légitimes, fait évoluer rapidement la menace. Pour les responsables de la sécurité et les gestionnaires, il est essentiel de maintenir les politiques de contrôle de la mise en oeuvre, d'appliquer la segmentation du réseau, de demander une authentification solide et de revoir régulièrement l'accès aux secrets et aux dépôts de codes. La transparence des rapports d'incident et l'échange d'indicateurs d'engagement entre les organisations accélèrent la capacité d'intervention collective à ces campagnes.
Bref, la combinaison de publicités malveillantes, de faux installateurs et de voleurs multiplateforme est un rappel : la sécurité ne dépend pas seulement du système d'exploitation. La prévention passe par une couche humaine formée, des outils de défense à jour et des contrôles de réseau et de paramètres qui détectent des comportements anormaux avant que les agresseurs prennent des informations précieuses.
Pour élargir la lecture et consulter l'analyse Microsoft originale, vous pouvez accéder au rapport technique ici: Microsoft Security Blog. Pour les guides pratiques sur la prévention du phishing et de l'exfiltration des références, la collection de ressources du CNSC est très utile : NCSC - Phishing. Et si vous voulez examiner les politiques et les recommandations sur les publicités et les pratiques malveillantes sur les plateformes publicitaires, consultez la documentation Google Ads: Google Politique de publicité.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...