Actifs
Dépôt de cryptos
Acheter Crypto
Convertir
Transfert
Retrait
Mes coupons
Historique du fonds
Dashboard
Sécurité du compte
Vérification d'identité
Gestion des API
Rapport de la transaction
Déconnexion
inscrire
BTCC / BTCC Square / CryptopolitanFR /
Alerte sécurité : la nouvelle variante du malware MacSync contourne les défenses de macOS

Alerte sécurité : la nouvelle variante du malware MacSync contourne les défenses de macOS

Author:
CryptopolitanFR
Published:
2025-12-23 16:25:14
11
1

Jamf et SlowMist mettent en garde contre une nouvelle variante du malware MacSync qui contourne la sécurité de macOS

Les experts en cybersécurité tirent la sonnette d'alarme. Une version retravaillée d'un malware connu, MacSync, parvient désormais à franchir les barrières de sécurité natives de macOS. Une évolution inquiétante qui montre l'adaptabilité constante des cybercriminels.

Le mécanisme de contournement

Le malware exploite des failles subtiles pour éviter la détection par les systèmes de contrôle d'intégrité du système. Il ne déclenche pas les alertes habituelles, opérant en silence pour s'installer en profondeur. Une approche furtive qui le rend particulièrement dangereux pour les utilisateurs non avertis.

Les implications pour les utilisateurs

Cette percée signifie qu'aucun écosystème n'est à l'abri. Les attaquants ciblent de plus en plus les environnements perçus comme sécurisés, cherchant à compromettre données et appareils. La vigilance et les mises à jour logicielles restent la première ligne de défense.

Une pointe de cynisme financier : pendant que certains investissent dans des firewalls dernier cri, d'autres parient que la hausse des cyberattaques fera monter le cours des actions des sociétés de sécurité... une bien trise spéculation sur notre vulnérabilité collective.

Slowmist affirme que des informations utilisateur ont déjà été volées 

Dans un message publié sur X, le responsable de la sécurité informatique de Slowmist, 23pds, a affirmé qu'il existe une nouvelle variante de MacSync qui contourne le système de sécurité Gatekeeper de macOS et qu'elle a déjà détourné les informations de nombreux utilisateurs. 

D'après 23pds, pour échapper à la détection, cette variante utilise des techniques telles que l'inflation de fichiers, la vérification de la connexion réseau et l'exécution de scripts d'autodestruction. Elle serait capable de dérober des données sensibles comme les trousseaux iCloud, les mots de passe de navigateur et les portefeuilles de cryptomonnaies. 

L’avertissement était joint à un article de blog de Jamf Threat Labs, indiquant qu’il ne s’agissait pas de leur premier contact avec MacSync. 

Ce logiciel malveillant de vol d'informations ciblant macOS serait apparu pour la première fois en avril 2025 sous le nom de « Mac.C », développé par un acteur malveillant connu sous le nom de « Mentalpositive ». Il a été rebaptisé MacSync peu après, nom sous lequel il a rapidement gagné tracauprès des cybercriminels.

Pour vous en protéger, téléchargez uniquement des applications depuis le Mac App Store ou des sites web de développeurs de confiance, maintenez votre macOS et vos applications à jour, utilisez des outils antivirus/de sécurité des terminaux réputés qui détectent les menaces macOS et soyez prudent avec les fichiers .dmg ou les installateurs inattendus, en particulier ceux qui promettent des outils liés à la cryptographie ou à la messagerie.

Existe-t-il un nouveau logiciel malveillant MacSync ? 

L'échantillon en question ressemblait fortement aux anciennes variantes du logiciel malveillant MacSync Stealer, de plus en plus actif, mais sa conception avait été entièrement repensée. Contrairement aux variantes précédentes de MacSync Stealer qui reposent principalement sur des techniques de glisser-déposer ou de type ClickFix, celle-ci utilise une approche plus trompeuse et passive. 

L'échantillon serait livré sous la forme d'une application Swift signée et notariée, contenue dans une image disque nommée zk-call-messenger-installer-3.9.2-lts.dmg, distribuée via https://zkcall.net/download.

Cela élimine le besoin de toute interaction directe avec le terminal. Au lieu de cela, le programme d'installation récupère un script encodé depuis un serveur distant et l'exécute via un exécutable auxiliaire développé en Swift

Jamf Threat Labs a également observé que le voleur d'informations Odyssey adoptait des méthodes de distribution similaires dans ses variantes récentes. Ils se sont dits surpris de constater que l'instruction d'ouverture par clic droit, pourtant familière, était toujours présente dans le nouvel échantillon, alors même que l'exécutable était signé et ne nécessitait pas cette étape.

« Après avoir examiné le fichier binaire Mach-O, qui est une version universelle, nous avons confirmé qu'il est à la fois signé et notarié. La signature est associée à l'identifiant de l'équipe de développement GNJLS3UYZ4 », ont-ils affirmé. 

Ils ont vérifié les hachages des répertoires de code par rapport à la liste de révocation d'Apple et, au moment de l'analyse, ont indiqué qu'aucun n'avait été révoqué.

Une autre observation notable concerne la taille inhabituellement grande de l'image disque (25,5 Mo), qui, selon eux, semble être gonflée par des fichiers leurres intégrés dans le paquet de l'application. 

Au moment de l'analyse, certains échantillons téléchargés sur VirusTotal n'ont été détectés que par un seul moteur antivirus, tandis que d'autres l'ont été par treize. Après avoir confirmé que l'identifiant de l'équipe de développement avait été utilisé pour diffuser des charges utiles malveillantes, Jamf Threat Labs l'a signalé à Apple. Depuis, le certificat associé a été révoqué.

Les plus brillants experts en cryptomonnaies lisent déjà notre newsletter. Envie de participer ? Rejoignez-les .

|Square

Obtenez l'application BTCC pour commencer votre expérience avec les cryptomonnaies

Download on the App Store GEI IT ON Google Play

Commencer aujourd'hui Scannez pour rejoindre nos + de 100 millions d’utilisateurs

Exchange for a better future

Produits
Services
Guides
À propos de nous
Conditions et accord
Service client

Avertissement concernant les risques : Le trading d’actifs numériques est une industrie émergente avec de belles perspectives, mais elle comporte également d’énormes risques car il s’agit d’un nouveau marché. Les risques sont particulièrement élevés dans le trading à effet de levier, car l’effet de levier amplifie les profits et amplifie en même temps les risques. Veuillez vous assurer d'avoir une très bonne compréhension du secteur, des modèles de trading à effet de levier et des règles de trading avant d'ouvrir une position. De plus, nous vous recommandons fortement d’identifier votre tolérance au risque et d’accepter uniquement les risques que vous êtes prêt à prendre. Tout trading comporte des risques, vous devez donc être prudent lorsque vous entrez sur le marché.

L'échange de cryptomonnaies le plus ancien au monde depuis 2011 © 2011 - 2025 BTCC.com. All rights reserved

Avertissement : Les articles reproduits sur ce site proviennent de réseaux publics et sont partagés dans le seul but de transmettre des informations sectorielles, sans représenter une position officielle de BTCC. Les droits de création reviennent à leurs auteurs respectifs. Si vous constatez des violations de droits d’auteur ou de contenu litigieux, veuillez nous contacter à [email protected] pour que nous puissions traiter la demande conformément à la loi. BTCC ne garantit pas l'exactitude, l'actualité ou l'exhaustivité des informations reproduites et décline toute responsabilité, explicite ou implicite, découlant de l'utilisation de ces informations. Tous les contenus sont fournis à titre de référence pour la recherche sectorielle et ne constituent en aucun cas une suggestion d'investissement, de décision juridique ou commerciale. BTCC ne saurait être tenu responsable des actes entrepris sur la base de ces informations.