Il y a quelques années, penser à macOS comme une plate-forme relativement sûre contre les logiciels malveillants était presque une certitude pour de nombreux utilisateurs. Aujourd'hui, cette perception est remise en question par les familles de logiciels malveillants connus sous le nom d'infostealers, dont le but n'est pas tant de détruire des équipements que de les presser pour extraire des informations précieuses et de les transformer en argent rapide en marchés clandestins. Un exemple récent et particulièrement illustratif est l'infostealer connu sous le nom d'AMOS, qui est passé d'un outil annoncé dans les forums Web sombres à une composante réutilisable dans une économie criminelle beaucoup plus large.
Les infostealers ne fonctionnent pas comme un simple "virus" : ils agissent comme des extracteurs d'identification automatisés, des sessions actives, des portefeuilles de cryptomonéda et des documents sensibles. Une fois exécuté sur une machine victime, passez par les navigateurs, le stockage d'identifications système, les applications de messagerie, les claviers et les fichiers locaux pour collecter tout ce qui a de la valeur pour un attaquant. Cette base de données volée n'est pas la fin du processus, mais la matière première : les enregistrements qui en résultent - ce que l'industrie appelle les « bûcherons » - sont vendus ou échangés sur des marchés clandestins et des canaux fermés, où différents acteurs les utilisent pour prendre en compte le contrôle, les portefeuilles vides ou l'accès initial ouvert pour les opérations ultérieures.
Le cas d'AMOS sert de radiographie de la façon dont ces menaces fonctionnent aujourd'hui. Depuis sa première apparition dans les forums Telegram, son kit a été offert comme un service avec des panneaux de gestion, l'envoi de journaux par Telegram et les options de paiement dans cryptomonedas. Au fil du temps, les développeurs et les affiliés ont ajusté leur offre et en ont fait un service que d'autres criminels peuvent embaucher pour répandre des logiciels malveillants, tandis que les acheteurs spécialisés achètent des dossiers pour gérer la fraude ou l'accès au réseau d'entreprise. Cette fragmentation du travail - certains se développant, certains distribuant et d'autres monétisant - est l'une des raisons pour lesquelles ces campagnes sont devenues si évolutives.
Ce qui rend l'AMOS et des campagnes similaires particulièrement dangereuses n'est pas tant une sophistication technique extrême, mais la capacité d'exploiter la confiance humaine et les canaux légitimes. Ces derniers mois, nous avons vu un certain nombre de tactiques qui le confirment : de faux dépôts sur des plates-formes de développement qui reproduisent des installateurs légitimes et apparaissent dans les résultats de recherche, à l'insertion de « compétences » malveillantes dans les marchés d'extension pour les assistants personnels IA. Dans l'un des modèles les plus ingénieux, les attaquants publient des suppléments prétendument utiles - par exemple, des outils pour la productivité, l'intégration avec des services ou des avantages pour cryptomoneda - qui effectivement télécharger et exécuter l'infostealer lorsque l'utilisateur accepte l'installation. Lorsque les marchés et les magasins ne disposent pas de contrôles rigoureux, ces vecteurs deviennent des canaux de distribution de masse.
Une autre méthode qui s'est avérée efficace est la soi-disant "ClickFix" ou exécution par instructions: les pages qui apparaissent des guides légitimes incitent la victime à coller une ligne de terminal ou à faire glisser un fichier pour exécuter un installateur. Dans macOS, où de nombreux utilisateurs supposent que l'exécution des commandes est une chose de développeur, ce truc est particulièrement dangereux. Les attaquants utilisent également l'empoisonnement au référencement et le dumping pour positionner des liens malveillants dans des recherches payées ou des résultats organiques, de sorte que quelqu'un à la recherche d'une application populaire se retrouve dans un site qui offre un installateur engagé.
L'attention médiatique portée à l'instrumentation des écosystèmes de l'IA n'est pas gratuite : en décembre 2025, une campagne a été détectée en utilisant la fonction « chat partagé » des plateformes de l'IA pour accueillir des instructions d'installation trompeuses dans des domaines de confiance, un vecteur documenté publiquement par des chercheurs comme Huntress ( Rapport de chasse). Plus récemment, la recherche AMOS a montré comment les marchés de compétences personnelles d'assistant peuvent être empoisonnés pour engager les utilisateurs qui installent des extensions apparemment utiles - une forme moderne d'abus de la chaîne d'approvisionnement de logiciels.
Derrière ces campagnes se trouve une économie organisée. Le modèle Malware-as-a-Service permet aux opérateurs d'offrir des infostealers d'abonnement, puis aux acheteurs d'acquérir des documents spécifiques en fonction de leur intérêt : accès aux comptes de courrier d'entreprise, sessions de navigateur actif, clés SSH ou informations de portefeuille. Ces « journaux de vol » deviennent une marchandise qui gère des forums et des canaux, et la valeur dépend de la qualité et de l'utilité des données. Les chercheurs et les fournisseurs de renseignements sur la cybersécurité poursuivent et catégorisent ces échanges précisément parce que l'anticipation de la revente de titres de compétence permet d'atténuer les attaques de responsabilité avant qu'elles ne se concrétisent.
Que peuvent faire les utilisateurs et les organisations pour réduire ce risque? Premièrement, les raccourcis de méfiance qui promettent la vitesse : évitez de frapper les commandes dans Terminal sans vérifier la source et préférez les installateurs distribués par les canaux officiels. Chaque extension ou compétence n'est pas ce à quoi elle ressemble., et la popularité d'un outil ne garantit pas que chaque complément dans votre point de repère est sûr. Dans les environnements ministériels, la mise en oeuvre des politiques de gestion des paramètres et de contrôle des applications - bloquer les installations non autorisées, limiter les privilèges administratifs et exiger des examens logiciels - réduit la surface de l'attaque. L'authentification multifactorielle est une autre barrière critique; dans la mesure du possible, prioriser les facteurs résistants à l'hameçonnage comme les clés physiques (FIDO2) ou les solutions basées sur le matériel plutôt que les SMS ou les codes de courrier.
Pour le matériel de sécurité, les signaux de surveillance en dehors du périmètre deviennent de plus en plus importants. Les outils et les services qui suivent l'apparition des lettres de créances ou des séances sur les marchés clandestins offrent un avertissement rapide pour faire pivoter les mots de passe engagés, forcer les séances à fermer ou à appliquer l'atténuation de l'accès conditionnel. Il est également essentiel d'implémenter la détection des paramètres pour identifier les comportements d'infostealers typiques - recherche massive de fichiers sensibles, suppression de clé ou lecture de profils de navigateur - et de le combiner avec la télémétrie réseau pour bloquer l'exfiltration. Des organismes comme Flare publient des rapports et des services de surveillance qui illustrent cette approche ( Déclaration d'exposition à l'identité 2026) et il y a des ressources publiques pour comprendre l'économie derrière les logiciels malveillants ( analyse du modèle MaaS).
Il n'y a pas de solutions magiques : la menace évolue aussi vite que les techniques pour la distribuer. Par conséquent, la défense est multiforme et nécessite de combiner l'éducation de l'utilisateur (ne pas exécuter des commandes inconnues, vérifier les origines), les contrôles techniques (gestion des patchs, détection des paramètres, MFA robuste) et la visibilité de la menace en dehors de l'environnement - surveillance des références et des sessions sur le réseau sombre, et collaboration avec les fournisseurs de renseignement. Les outils de réputation et de contrôle sur les marchés et les dépôts devraient être améliorés, mais en attendant La responsabilité de la prévention incombe dans une large mesure à la prudence technologique des organisations et des utilisateurs..
Outre les études menées auprès de sociétés de renseignement spécialisées, il convient d'examiner l'analyse technique et les recommandations publiques sur la disparition des titres de compétence et l'abus des chaînes d'approvisionnement sur des plates-formes telles que GitHub ( Blog de sécurité GitHub) et utiliser des ressources pour vérifier si vos comptes ont été filtrés, comme Est-ce que j'ai été cousu. L'information et l'application de bonnes pratiques de base réduisent la probabilité d'être la prochaine victime à nourrir ce marché souterrain lucratif.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...