Selon 9to5Mac, Mosyle a partagé en exclusivité la découverte de « SimpleStealth », une campagne de malware macOS qui intègre du code provenant de modèles d’IA générative — une première observée « dans la nature ». Au moment de l’analyse, la menace n’était détectée par aucun des principaux antivirus.
La diffusion s’appuie sur un site factice imitant l’application d’IA populaire Grok, hébergé sur un domaine ressemblant à l’original. Les victimes téléchargent un installateur macOS nommé « Grok.dmg ». Une fois lancé, l’utilisateur voit une app qui semble pleinement fonctionnelle et fidèle au vrai Grok, tandis que les activités malveillantes s’exécutent discrètement en arrière-plan.
Au premier lancement, SimpleStealth vise à contourner les protections de macOS : l’app demande le mot de passe système sous prétexte de finaliser une étape simple de configuration, ce qui lui permet de lever la quarantaine d’Apple et de préparer sa charge utile. Du point de vue de l’utilisateur, l’application continue d’afficher un contenu lié à l’IA, similaire à celui de l’app légitime.
En arrière-plan, le malware déploie un mineur Monero (XMR) furtif ⛏️. Pour rester invisible, le minage ne démarre qu’après au moins une minute d’inactivité et s’arrête dès que l’utilisateur bouge la souris ou tape au clavier. Le mineur se déguise en processus systèmes courants (kernel_task, launchd) pour se fondre dans le bruit normal. Des éléments de code trahissent l’usage de l’IA 🧠: commentaires inhabituellement verbeux, mélange d’anglais et de portugais brésilien, et motifs logiques répétitifs typiques de scripts générés.
L’article souligne que l’IA abaisse rapidement la barrière d’entrée pour les attaquants et rappelle d’éviter les téléchargements depuis des sites tiers.
IoC observés
- Malware family : SimpleStealth
- Nom de distribution : Grok.dmg
- Plateforme ciblée : macOS
- Domaine observé : xaillc[.]com
TTPs notables
- Usurpation d’application via domaine look-alike (impersonation/typosquatting) 🎭
- Ingénierie sociale : demande du mot de passe système pour contourner la quarantaine
- Contournement de protections macOS (quarantine)
- Déguisement en processus système (kernel_task, launchd) pour l’évasion
- Minage de cryptomonnaie (Monero/XMR) furtif et conditionnel à l’inactivité de l’utilisateur
- Code comportant des indices d’origine IA (commentaires verbeux, langues mixtes, logique répétitive)
Conclusion : article de presse spécialisé présentant une nouvelle campagne malveillante macOS et partageant des IoC pour la détection.
🔗 Source originale : https://9to5mac.com/2026/01/09/mosyle-identifies-one-of-the-first-known-ai-assisted-mac-malware-threats/