Close Menu
Actualité

Mosyle dévoile un malware Mac invisible et redoutable

Léon GalarneauBy Un commentaire2 Mins Read

Un nouvel ennemi invisible: Mosyle, expert en gestion et sécurité des appareils Apple, a identifié « ModStealer », un malware intrépide qui défie les antivirus avec panache. Invisible sur VirusTotal pendant près d’un mois, ce méfait multiplateforme vole vos données en douce.

Propagé par de fausses annonces de recruteurs visant les développeurs, ModStealer cache son jeu derrière un fichier JavaScript obfusqué en NodeJS, échappant ainsi aux défenses classiques basées sur les signatures. Attention, ce ne sont pas seulement les utilisateurs de macOS qui sont ciblés—Windows et Linux sont aussi à risque.

ModStealer s’intéresse de très près à vos portefeuilles cryptos, fichiers d’identifiants, détails de configuration, et certificats. Des codes pré-encodés lui permettent de cibler 56 extensions de portefeuilles sur navigateur, y compris Safari, afin d’extraire des clés privées et autres infos sensibles.

Les dangers que l’on ne voit pas

Outre le vol de données, ModStealer peut capturer écran et presse-papiers, et même exécuter du code à distance, offrant ainsi aux attaquants un quasi-contrôle de votre machine. Sur macOS, il s’installe discrètement en abusant de l’outil launchctl d’Apple, se posant en tant que LaunchAgent. Une fois installé, il guette vos mouvements et envoie vos données sensibles à un serveur distant, apparemment basé en Finlande mais lié à une infrastructure en Allemagne pour brouiller les pistes.

Un modèle de commerce dangereux

ModStealer incarne le Malware-as-a-Service, où ceux qui n’ont pas les compétences techniques achètent des paquets de logiciels malveillants prêts à l’emploi pour les utiliser à leur guise. Ce modèle attire de plus en plus de gangs de cybercriminels, d’autant plus que, plus tôt cette année, une augmentation de 28 % des infostealers sur Mac a été reportée par Jamf.

Mosyle rappelle que les protections basées uniquement sur les signatures ne suffisent plus. Il est essentiel d’adopter une surveillance continue, des défenses basées sur le comportement et de rester informé des menaces émergentes pour devancer les adversaires.

Indicateurs de Compromission

  • SHA256 hash: 8195148d1f697539e206a3db1018d3f2d6daf61a207c71a93ec659697d219e84
  • Nom du fichier: .sysupdater[.]dat
  • Adresse IP du serveur C2: 95.217.121[.]184

Share.

Rédacteur occasionnel sur AppSystem, je cultive une réelle passion pour les mangas, le tennis et l'univers Apple.

Related Posts

Un commentaire

Leave A Reply