Mise à niveau des chevaux de Troie macOS : propagation déguisée par des applications signées, les utilisateurs de chiffrement font face à des risques plus discrets.

2025-12-23 06:29:51

Création du résumé en cours

Le 23 décembre, le directeur de la sécurité de l'information de Slow Mist, 23pds, a partagé que le MacSync Stealer, un malware actif sur la plateforme macOS, a connu une évolution évidente, avec des actifs d'utilisateurs déjà volés. L'article relayé mentionne que, passant des techniques d'incitation à faible seuil telles que « glisser-déposer dans le terminal » et « ClickFix », il a été mis à niveau pour devenir une application Swift signée et notariée par Apple, augmentant considérablement sa discrétion. Les chercheurs ont découvert que cet échantillon se propage sous la forme d'une image disque nommée zk-call-messenger-installer-3.9.2-lts.dmg, incitant les utilisateurs à télécharger en se déguisant en applications de messagerie instantanée ou d'outils. Contrairement aux versions précédentes, la nouvelle version ne nécessite aucune opération terminale de l'utilisateur, mais utilise un programme d'assistance Swift intégré pour récupérer et exécuter des scripts codés à partir d'un serveur distant, complétant ainsi le processus de vol d'informations. Ce malware a été signé avec un code et notarié par Apple, l'ID de l'équipe de développement étant GNJLS3UYZ4, et le hash correspondant n'a pas été révoqué par Apple lors de l'analyse. Cela signifie qu'il a une « crédibilité » plus élevée sous les mécanismes de sécurité par défaut de macOS, facilitant le contournement de la vigilance des utilisateurs. La recherche a également révélé que le DMG a une taille anormalement grande, contenant des fichiers appâts tels que des PDF liés à LibreOffice, pour réduire davantage les soupçons. Les chercheurs en sécurité soulignent que ce type de cheval de Troie de vol d'informations cible souvent principalement les données de navigateur, les identifiants de compte et les informations de portefeuille cryptographique. Avec le début de l'abus systématique des mécanismes de signature et de notariat d'Apple par le malware, le risque de phishing et de fuite de clés privées pour les utilisateurs d'actifs cryptographiques dans un environnement macOS est en hausse.

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.