Faux DMG de plugins audio sur macOS : loader multi‑étapes (ClickFix, PPI) livrant MacSyncStealer

Selon Iru Threat Intelligence (Calvin So), publié le 19 février 2026, des chercheurs ont analysé une campagne de « loader » macOS diffusée massivement via des DMG se faisant passer pour des plugins audio crackés.

La campagne met en œuvre un loader multi‑étapes livré par des DMG non signés contenant un binaire Mach‑O (« Meta Installer ») et un script Bash. Le binaire (x86_64, ciblant Intel et potentiellement Apple Silicon via Rosetta) lit un Installer.plist pointant vers un C2 pour récupérer des charges utiles. Pour contourner Gatekeeper/XProtect, les opérateurs recourent à des chaînes en plusieurs étapes avec des scripts obfusqués et des leurres ClickFix (fenêtre navigateur incitant l’utilisateur à copier/coller des commandes), transformant l’utilisateur en exécuteur du code malveillant.

Le Stage 1 collecte la version macOS et télécharge un exécutable depuis com.airportsock[.]xyz vers /tmp, puis l’exécute en arrière‑plan. Le Stage 2 redirige via robincompany[.]xyz (présence d’affId=1000 confirmant un modèle Pay‑Per‑Install) ; le contenu est décodé (base64 -D) et exécuté via zsh, récupérant ensuite MacSyncStealer depuis ballfrank[.]today (ou, en pivot d’infrastructure, depuis kuturu[.]com) avec les mêmes commandes finales. Le Stage 3 (MacSyncStealer obfusqué) télécharge et exécute du code via osascript, cible /tmp/osalogging.zip, et tente une exfiltration HTTP (POST/chunked) avant suppression locale.

Côté infrastructure, le C2 mac.fleebottom-33[.]xyz (référencé dans le plist) est inactif au moment de l’analyse, et ballfrank.today renvoie une erreur Cloudflare 522, suggérant une mise hors ligne sélective ou un blocage des environnements automatisés. Les charges utiles mentionnées incluent Odyssey et MacSyncStealer, indiquant un possible Loader‑as‑a‑Service au sein d’un écosystème PPI.

IOC principaux (sélection) 🔎

• Domaines/URL C2 et distribution:
  • mac[.]fleebottom-33[.]xyz (ex. /launch_mac.php?pid=PPIIDD&tid=TTIIDD)
  • com.airportsock[.]xyz
  • robincompany[.]xyz (présence de affId=1000)
  • ballfrank[.]today
  • kuturu[.]com
• Fichiers/chemins:
  • Installer/.Trashes/672/Setup.app/Contents/Resources/Installer/installer.plist
  • Installer/.Trashes/672/Setup.app/Contents/MacOS/ (“Meta Installer”)
  • /tmp (téléchargement et exécution) ; /tmp/osalogging.zip (ciblé pour exfiltration)
• Empreintes (SHA‑256) clés:
  • Mach‑O (Meta Installer): 0f5751f207e4825950e476dba2c42548645aba9b680728b57c18ce077b2aa4cf
  • Installer.plist: 775dc2f44ce173a67f77ba6b30f354495024078f5d4626fd02ae5bc9ea438705
  • Stage 1 Bash (exemples): 753aac214568c5f388488fb2d28b872de26faa3fee03d723b8401a968984cda4; 0fe8540c8ce1de66494a8330dd7f8715fe1048dc038a746cbc8e141222db7aca; fe6e5f076aae76d83a6caed2f376dc9549455f45813aab1e09f8d88e9a485adc; b2d5e3ab16539387854c33376ee85739326b5974b78d9ea6d07b80f264d8f40d; cf8fc13b62f3cc9f5ed77f6d3d7da47369b82b4bcde98b46c07ecf8afa873708
  • Stage 2 payload: 5a7b4282695da750736ca5eb0ef38b8374339a9d4407e7ecf0ac7e4c8da20a31
  • Stage 3 (MacSyncStealer var.): cef9159155222472a198ccd4e18ba6df965e75d3f23e9e8e968e963ce75ef8f0
  • DMGs (exemples): 02824de8aa75504d2e7958a67d3541c89af4031587247d44c79dea1554eeede5; 02a2f0957229e68ff03eb2dd4efa6831a1beefe9e8fc4b4481c4194c6a0052ca; c1546958a51022647c932bf006e1817b39331dff60b33c99bd374bede0e48b54; 47f8c34f744cb16ed9759a60c01e1e8072ea6cd23d1eba3c55449cb90898809d; 3e232e216478efaef315040b9d98a24e1e4401cbaee691a6992dc6a2ea716a2b; 5df1d3be42e911d3e2b8e6f53fec04f6b49d8c87d78ac0e702d4af1f6010a25e; cd8ff4618131df56990de265b82ec827f9451b6aa2ce545231b076cc615c87f1; 006441b6f5f8c96ab4ba773764454023bfa06c377f79f6e2e4b3d2fc00fc89f8; 890e5bd56e688107250260d8cfbf3ac3cec822cfe7150e22da9cf60c3848d81c; 9142f7a7e879c58cd195ba109f01dc0ca13c7eea911158dfa485824ed984688a

TTPs observés 🧩

• Leurres/ingénierie sociale: faux plugins audio crackés et prompts ClickFix incitant au copier/coller de commandes.
• Chaîne multi‑étapes: téléchargement/exec séquentiels (Bash → zsh → AppleScript) avec obfuscation/base64 et exécutions en arrière‑plan.
• Livraison/exécution: curl sur HTTP, exécution depuis /tmp, utilisation de osascript pour exécuter du code AppleScript récupéré à distance.
• Évasion/défense: contournement de Gatekeeper par action utilisateur, pivot hors bundle pour échapper à XProtect, ciblage x86_64 (Rosetta possible sur Apple Silicon).
• Monétisation/distribution: indices de Loader‑as‑a‑Service et Pay‑Per‑Install (paramètre affId).
• Exfiltration: POST HTTP (ou par morceaux) de /tmp/osalogging.zip, puis effacement local.

Conclusion: il s’agit d’une analyse de menace visant à documenter une campagne de loader macOS multi‑étapes, détailler son infrastructure/chaîne d’infection et partager les IOCs/TTPs correspondants.

🧠 TTPs et IOCs détectés

TTP

[‘Leurres/ingénierie sociale: faux plugins audio crackés et prompts ClickFix incitant au copier/coller de commandes.’, ‘Chaîne multi-étapes: téléchargement/exec séquentiels (Bash → zsh → AppleScript) avec obfuscation/base64 et exécutions en arrière-plan.’, ‘Livraison/exécution: curl sur HTTP, exécution depuis /tmp, utilisation de osascript pour exécuter du code AppleScript récupéré à distance.’, ‘Évasion/défense: contournement de Gatekeeper par action utilisateur, pivot hors bundle pour échapper à XProtect, ciblage x86_64 (Rosetta possible sur Apple Silicon).’, ‘Monétisation/distribution: indices de Loader-as-a-Service et Pay-Per-Install (paramètre affId).’, ‘Exfiltration: POST HTTP (ou par morceaux) de /tmp/osalogging.zip, puis effacement local.’]

IOC

{‘domains’: [‘mac.fleebottom-33.xyz’, ‘com.airportsock.xyz’, ‘robincompany.xyz’, ‘ballfrank.today’, ‘kuturu.com’], ‘file_paths’: [‘Installer/.Trashes/672/Setup.app/Contents/Resources/Installer/installer.plist’, ‘Installer/.Trashes/672/Setup.app/Contents/MacOS/’, ‘/tmp’, ‘/tmp/osalogging.zip’], ‘hashes’: [‘0f5751f207e4825950e476dba2c42548645aba9b680728b57c18ce077b2aa4cf’, ‘775dc2f44ce173a67f77ba6b30f354495024078f5d4626fd02ae5bc9ea438705’, ‘753aac214568c5f388488fb2d28b872de26faa3fee03d723b8401a968984cda4’, ‘0fe8540c8ce1de66494a8330dd7f8715fe1048dc038a746cbc8e141222db7aca’, ‘fe6e5f076aae76d83a6caed2f376dc9549455f45813aab1e09f8d88e9a485adc’, ‘b2d5e3ab16539387854c33376ee85739326b5974b78d9ea6d07b80f264d8f40d’, ‘cf8fc13b62f3cc9f5ed77f6d3d7da47369b82b4bcde98b46c07ecf8afa873708’, ‘5a7b4282695da750736ca5eb0ef38b8374339a9d4407e7ecf0ac7e4c8da20a31’, ‘cef9159155222472a198ccd4e18ba6df965e75d3f23e9e8e968e963ce75ef8f0’, ‘02824de8aa75504d2e7958a67d3541c89af4031587247d44c79dea1554eeede5’, ‘02a2f0957229e68ff03eb2dd4efa6831a1beefe9e8fc4b4481c4194c6a0052ca’, ‘c1546958a51022647c932bf006e1817b39331dff60b33c99bd374bede0e48b54’, ‘47f8c34f744cb16ed9759a60c01e1e8072ea6cd23d1eba3c55449cb90898809d’, ‘3e232e216478efaef315040b9d98a24e1e4401cbaee691a6992dc6a2ea716a2b’, ‘5df1d3be42e911d3e2b8e6f53fec04f6b49d8c87d78ac0e702d4af1f6010a25e’, ‘cd8ff4618131df56990de265b82ec827f9451b6aa2ce545231b076cc615c87f1’, ‘006441b6f5f8c96ab4ba773764454023bfa06c377f79f6e2e4b3d2fc00fc89f8’, ‘890e5bd56e688107250260d8cfbf3ac3cec822cfe7150e22da9cf60c3848d81c’, ‘9142f7a7e879c58cd195ba109f01dc0ca13c7eea911158dfa485824ed984688a’]}

---

🔗 Source originale : https://the-sequence.com/macos-malware-loader-music-plugin-dmg