Lors de l'examen des détections de ses règles YARA internes, Jamf Threat Labs affirme avoir observé un voleur de données signé et notarié qui ne suivait pas les chaînes d'exécution typiques observées par le passé.
Selon 23pds de Slowmist, ce voleur de données est une nouvelle variante de MacSync, célèbre pour contourner la sécurité de macOS.
Slowmist affirme que des informations utilisateur ont déjà été volées
Dans un message publié sur X, le responsable de la sécurité informatique de Slowmist, 23pds, a affirmé qu'il existe une nouvelle variante de MacSync qui contourne le système de sécurité Gatekeeper de macOS et qu'elle a déjà détourné les informations de nombreux utilisateurs.
D'après 23pds, pour échapper à la détection, cette variante utilise des techniques telles que l'inflation de fichiers, la vérification de la connexion réseau et l'exécution de scripts d'autodestruction. Elle serait capable de dérober des données sensibles comme les trousseaux iCloud, les mots de passe de navigateur et les portefeuilles de cryptomonnaies.
L’avertissement était joint à un article de blog de Jamf Threat Labs, indiquant qu’il ne s’agissait pas de leur premier contact avec MacSync.
Ce logiciel malveillant de vol d'informations ciblant macOS serait apparu pour la première fois en avril 2025 sous le nom de « Mac.C », développé par un acteur malveillant connu sous le nom de « Mentalpositive ». Il a été rebaptisé MacSync peu après, nom sous lequel il a rapidement gagné tracauprès des cybercriminels.
Pour vous en protéger, téléchargez uniquement des applications depuis le Mac App Store ou des sites web de développeurs de confiance, maintenez votre macOS et vos applications à jour, utilisez des outils antivirus/de sécurité des terminaux réputés qui détectent les menaces macOS et soyez prudent avec les fichiers .dmg ou les installateurs inattendus, en particulier ceux qui promettent des outils liés à la cryptographie ou à la messagerie.
Existe-t-il un nouveau logiciel malveillant MacSync ?
L'échantillon en question ressemblait fortement aux anciennes variantes du logiciel malveillant MacSync Stealer, de plus en plus actif, mais sa conception avait été entièrement repensée. Contrairement aux variantes précédentes de MacSync Stealer qui reposent principalement sur des techniques de glisser-déposer ou de type ClickFix, celle-ci utilise une approche plus trompeuse et passive.
L'échantillon serait livré sous la forme d'une application Swift signée et notariée, contenue dans une image disque nommée zk-call-messenger-installer-3.9.2-lts.dmg, distribuée via https://zkcall.net/download.
Cela élimine le besoin de toute interaction directe avec le terminal. Au lieu de cela, le programme d'installation récupère un script encodé depuis un serveur distant et l'exécute via un exécutable auxiliaire développé en Swift
Jamf Threat Labs a également observé que le voleur d'informations Odyssey adoptait des méthodes de distribution similaires dans ses variantes récentes. Ils se sont dits surpris de constater que l'instruction d'ouverture par clic droit, pourtant familière, était toujours présente dans le nouvel échantillon, alors même que l'exécutable était signé et ne nécessitait pas cette étape.
« Après avoir examiné le fichier binaire Mach-O, qui est une version universelle, nous avons confirmé qu'il est à la fois signé et notarié. La signature est associée à l'identifiant de l'équipe de développement GNJLS3UYZ4 », ont-ils affirmé.
Ils ont vérifié les hachages des répertoires de code par rapport à la liste de révocation d'Apple et, au moment de l'analyse, ont indiqué qu'aucun n'avait été révoqué.
Une autre observation notable concerne la taille inhabituellement grande de l'image disque (25,5 Mo), qui, selon eux, semble être gonflée par des fichiers leurres intégrés dans le paquet de l'application.
Au moment de l'analyse, certains échantillons téléchargés sur VirusTotal n'ont été détectés que par un seul moteur antivirus, tandis que d'autres l'ont été par treize. Après avoir confirmé que l'identifiant de l'équipe de développement avait été utilisé pour diffuser des charges utiles malveillantes, Jamf Threat Labs l'a signalé à Apple. Depuis, le certificat associé a été révoqué.
