Le spécialiste de la gestion et de la sécurité d’appareils Apple Mosyle a détaillé une campagne inédite de malware sur macOS. Baptisée SimpleStealth, elle intègre du code issu de modèles d’IA générative, une première observée à l’état sauvage sur Mac. Au moment de la découverte, la menace n’était détectée par aucun antivirus majeur. Cette alerte intervient près d’un an après les avertissements de Moonlock Lab sur l’usage de modèles de langage pour écrire des malwares ciblant macOS.
Points clés
- Distribution via un faux site imitant l’application d’IA « Grok » avec un domaine trompeur.
- Application factice pleinement fonctionnelle pour masquer l’activité malveillante en arrière-plan.
- Demande du mot de passe système afin de lever la quarantaine de macOS et préparer le véritable payload.
- Déploiement d’un mineur de cryptomonnaie Monero (XMR) conçu pour rester discret.
- Déclenchement du minage uniquement à l’inactivité (dès 1 minute), arrêt immédiat à la reprise d’activité.
- Camouflage en processus système courants tels que kernel_task et launchd.
- Traces d’IA dans le code : commentaires particulièrement verbeux, anglais mêlé de portugais brésilien, schémas logiques répétitifs.
Mode opératoire
La campagne SimpleStealth repose sur un site contrefait qui propose un installeur macOS nommé « Grok.dmg ». Une fois lancé, un clone convaincant de l’app « Grok » s’affiche et fonctionne de manière crédible pour retenir l’attention, tandis que les actions malveillantes s’exécutent en arrière-plan.
Lors du premier lancement, l’app sollicite le mot de passe sous prétexte de finaliser un réglage. Cette élévation permet de retirer la quarantaine d’Apple et de déployer la charge utile : un mineur Monero discret. Le minage ne s’active qu’après une minute d’inactivité et s’interrompt au moindre mouvement de souris ou frappe clavier, tout en se faisant passer pour des processus systèmes légitimes afin de réduire les soupçons.
Contexte
Selon Mosyle, l’usage d’outils d’IA abaisse fortement la barrière d’entrée pour les attaquants, accélérant la création et la diffusion de nouvelles variantes. Les indices relevés dans le code de SimpleStealth illustrent cette tendance.
Bonnes pratiques
Le téléchargement depuis le Mac App Store ou les sites officiels des éditeurs reste la voie la plus sûre. Les sources tierces doivent être évitées.
Indicateurs de compromission (IoC)
- Famille : SimpleStealth
- Nom de distribution : Grok.dmg
- Plateforme ciblée : macOS
- Domaine observé : xaillc[.]com
- Adresse de portefeuille : 4AcczC58XW7BvJoDq8NCG1esaMJMWjA1S2eAcg1moJvmPWhU1PQ6ZYWbPk3iMsZSqigqVNQ3cWR8MQ43xwfV2gwFA6GofS3
Empreintes SHA-256
- 553ee94cf9a0acbe806580baaeaf9dea3be18365aa03775d1e263484a03f7b3e (Grok.dmg)
- e379ee007fc77296c9ad75769fd01ca77b1a5026b82400dbe7bfc8469b42d9c5 (Grok wrapper)
- 2adac881218faa21638b9d5ccc05e41c0c8f2635149c90a0e7c5650a4242260b (grok_main.py)
- 688ad7cc98cf6e4896b3e8f21794e33ee3e2077c4185bb86fcd48b63ec39771e (idle_monitor.py)
- 7813a8865cf09d34408d2d8c58452dbf4f550476c6051d3e85d516e507510aa0 (working_stealth_miner.py)
