Nouveau malware MacSync contourne Gatekeeper de macOS pour voler des crypto-actifs
SlowMist a émis une alerte concernant une nouvelle variante du virus MacSync qui contourne Gatekeeper de macOS pour voler des portefeuilles de cryptomonnaies et des données iCloud.
À retenir
Résumé généré par l'IA, examiné par la rédaction.
Le logiciel malveillant MacSync contourne Gatekeeper de macOS en utilisant des applications Swift signées.
Le voleur cible les trousseaux iCloud, les mots de passe de navigateur et les portefeuilles de cryptomonnaies.
Il utilise le gonflement des fichiers et des scripts d'autodestruction pour échapper à la détection de sécurité.
Les attaquants dissimulent le logiciel malveillant sous l'apparence d'installateurs légitimes comme zk-Call Messenger.
Une nouvelle variante du malware MacSync cible activement les utilisateurs de macOS. Les chercheurs en sécurité avertissent qu’il peut contourner les protections intégrées d’Apple. Il est capable de voler des données sensibles, y compris les portefeuilles de crypto-monnaies. L’alerte provient de SlowMist, après que son responsable de la sécurité de l’information a signalé que certains utilisateurs avaient déjà subi des pertes d’actifs. Ce malware marque un tournant dans la sophistication des menaces sur macOS. Contrairement aux versions précédentes, cette variante échappe à la détection tout en apparaissant comme légitime pour le système d’exploitation.
Comment le malware contourne la sécurité de macOS
La nouvelle variante de MacSync peut contourner Gatekeeper sur macOS, un système conçu pour bloquer les applications non fiables. Selon les chercheurs, le malware utilise plusieurs techniques superposées pour éviter la détection. Cela inclut le gonflement de fichiers pour masquer le code malveillant, la vérification réseau pour confirmer l’environnement d’exécution et des scripts d’autodestruction qui effacent les traces après exécution.
En conséquence, le malware laisse souvent peu de preuves sur le disque. Une fois exécuté, il cible des données extrêmement sensibles, telles que les chaînes de clés iCloud, les mots de passe enregistrés dans les navigateurs et les fichiers de portefeuilles de crypto-monnaies. Dans de nombreux cas, les attaquants obtiennent un accès complet avant que l’utilisateur ne se rende compte qu’un problème est survenu.
Le passage aux malwares signés augmente le risque
Une analyse complémentaire par Jamf Threat Labs montre que le malware a évolué dans sa méthode de distribution. Les versions précédentes de MacSync reposaient sur des techniques d’ingénierie sociale, comme les commandes glisser-vers-terminal ou l’exécution manuelle de scripts. La nouvelle variante, en revanche, se présente sous forme d’application Swift signée et notariée. Elle est distribuée dans des images disque ressemblant à des installateurs légitimes, ce qui lui permet de passer les contrôles initiaux de macOS sans déclencher d’avertissements.
Après son lancement, l’application télécharge et exécute discrètement une charge utile de seconde phase. Une grande partie de cette activité s’effectue en mémoire, réduisant ainsi les chances de détection par les antivirus traditionnels. Les chercheurs indiquent que cela reflète une tendance plus large : de plus en plus de malwares macOS utilisent désormais des exécutables signés et notariés pour paraître fiables et retarder leur découverte.
Les portefeuilles crypto restent une cible principale
Le ciblage des portefeuilles crypto par ce malware souligne l’augmentation des risques pour les détenteurs d’actifs numériques. Une fois que les attaquants extraient les clés privées ou les données de récupération, les fonds volés sont généralement irrécupérables. Les rapports indiquent que certains utilisateurs touchés ont perdu des crypto-monnaies peu après l’infection. Aucun signe de transactions forcées ni de piratage de plateforme n’a été constaté. Les attaquants ont accédé directement aux portefeuilles depuis des appareils compromis. Les experts en sécurité avertissent que les utilisateurs de crypto-monnaies sont particulièrement vulnérables. Beaucoup stockent leurs portefeuilles, extensions de navigateur et identifiants sur des ordinateurs personnels sans mesures de protection supplémentaires.
Que doivent faire les utilisateurs maintenant
SlowMist recommande aux utilisateurs de macOS d’éviter de télécharger des logiciels ou des plugins provenant de sources inconnues. Même des installateurs apparemment légitimes peuvent comporter des risques cachés. Les experts suggèrent également d’activer des outils de protection avancée contre les menaces, de maintenir les systèmes à jour et de stocker les crypto-actifs dans des portefeuilles matériels lorsque cela est possible. Les utilisateurs doivent traiter tout installateur inattendu ou toute demande de sécurité avec prudence. En effet, à mesure que les attaquants perfectionnent leurs techniques, macOS n’est plus un environnement à faible risque. Le cas MacSync montre que même les protections intégrées peuvent être contournées. Pour les détenteurs de crypto-monnaies, la vigilance reste donc essentielle.
Suivez-nous sur Google News
Recevez les dernières informations et mises à jour sur la crypto.
Articles similaires
Les révisions de l’inflation PCE placent le Bitcoin à un carrefour alors que l’or et les actions grimpent
Triparna Baishnab
Author
Un « whale » d’Ethereum liquide entièrement une position massive sur Aave dans une opération rapide de réduction des risques
Triparna Baishnab
Author
Austin Hilton analyse l’année difficile de XRP en 2025 et pourquoi 2026 pourrait être un tournant
Triparna Baishnab
Author