Jamf a identifié une nouvelle variante de MacSync Stealer capable de contourner les contrôles de macOS en s’appuyant sur une application légitime signée et notarisée. La charge malveillante est récupérée à distance après l’exécution, échappant ainsi aux vérifications initiales.
Début décembre, des campagnes ont déjà exploité des chatbots d’IA pour pousser à l’installation de malwares sur Mac. Cette fois, les opérateurs misent sur un installateur « propre » pour délivrer MacSync Stealer ensuite (Jamf).
La méthode utilisée
- Application Swift signée et notarisée, sans code malveillant intégré.
- Téléchargement depuis un serveur distant d’un script encodé, exécuté localement pour installer le malware.
- Exécution des charges principalement en mémoire, laissant peu ou pas de traces sur le disque.
- Signature associée au Developer Team ID GNJLS3UYZ4 ; les empreintes n’étaient pas révoquées au moment de l’analyse, puis le certificat a été révoqué après signalement.
Pourquoi cela fonctionne
Gatekeeper et la notarisation bloquent les apps non signées ou non notarisées. Ici, l’exécutable initial passe les contrôles car il est légitime, puis télécharge la charge utile après coup. Ce procédé permet de se faire passer pour une application sûre et de retarder la détection.
Tendance observée
Selon Jamf, la distribution de malwares via des exécutables signés et notarisés progresse. Cette approche réduit les chances de détection précoce en imitant le comportement d’applications légitimes.
À retenir
L’installation d’apps via le Mac App Store ou provenant d’éditeurs reconnus limite l’exposition à ce type d’attaque.
