Infostealer

Selon Jamf Threat Labs (blog Jamf), une nouvelle itération de l’infostealer macOS MacSync Stealer abandonne les chaînes d’exécution « drag‑to‑terminal/ClickFix » au profit d’un dropper Swift code‑signé et notarisé, distribué dans une image disque, qui récupère et exécute un script de second étage de façon plus discrète. Le binaire Mach‑O universel est signé et notarisé (Developer Team ID GNJLS3UYZ4) et a été livré dans un DMG nommé zk-call-messenger-installer-3.9.2-lts.dmg, accessible via https://zkcall.net/download. Le DMG est volumineux (25,5 Mo) en raison de fichiers leurres (PDF liés à LibreOffice) intégrés. Au moment de l’analyse initiale, les hachages n’étaient pas révoqués, puis Jamf a signalé l’abus à Apple et le certificat a été révoqué. Sur VirusTotal, les échantillons allaient de 1 à 13 détections, classés surtout comme téléchargeurs génériques (familles « coins » ou « ooiid »). ...

Selon BleepingComputer, une nouvelle campagne liée au malware AMOS cible les utilisateurs via des publicités Google et des conversations se présentant comme Grok ou ChatGPT. La campagne abuse des Google Search Ads pour attirer les victimes vers des conversations Grok/ChatGPT qui paraissent « utiles ». Ces échanges servent de leurre et conduisent à l’installation du voleur d’informations AMOS sur macOS. L’élément central de l’attaque est un leurre conversationnel crédible, orchestré après un premier contact via malvertising. L’issue décrite est l’infection macOS par AMOS (info-stealer). ...

Source: Huntress (blog), publié le 9 décembre 2025. Contexte: analyse de menace détaillant une campagne d’AMOS (Atomic macOS Stealer) qui détourne la confiance accordée aux plateformes d’IA et aux moteurs de recherche pour livrer un infostealer sur macOS sans alerte visible. • Vecteur initial — empoisonnement SEO/IA: Des recherches banales type “clear disk space on macOS” renvoient en tête de Google vers des conversations légitimes hébergées sur chatgpt.com et grok.com. Ces chats, présentés comme des guides de nettoyage « sûrs », contiennent une commande Terminal qui, une fois copiée-collée, télécharge un loader AMOS (ex. URL décodée vers hxxps://putuartana[.]com/cleangpt). Aucune pièce jointe ou installateur malveillant, pas d’avertissement macOS: juste recherche → clic → copy/paste. ...

Contexte: Basé sur un échantillon référencé par vxunderground (MalwareSourceCode - MacOS.Stealer.Banshee.7z), cet article du 2 décembre 2025 présente Banshee, un infostealer macOS conçu nativement (Objective‑C, ARM64/x86_64) et commercialisé en MaaS (~3 000 $/mois). • Chaîne d’attaque et hameçonnage 🔐 Banshee affiche un faux dialogue natif via osascript (titre System Preferences, saisie masquée, délai 30 s) et boucle jusqu’à 5 tentatives pour collecter le mot de passe. Il valide en temps réel les identifiants avec dscl /Local/Default -authonly (sortie vide = succès), garantissant des credentials fonctionnels. Cette étape est centrale car le mot de passe permet de déchiffrer hors ligne le Trousseau macOS. ...

Source : Jamf Threat Labs (blog Jamf) — Analyse technique d’un nouvel infostealer macOS baptisé « DigitStealer », observé comme non détecté sur VirusTotal au moment de l’analyse, distribué via une image disque se faisant passer pour l’outil légitime DynamicLake. 🔎 Découverte et distribution Le malware est livré dans une image disque non signée « DynamicLake.dmg » et imite l’utilitaire légitime DynamicLake (légitime signé Team ID XT766AV9R9), mais distribué via le domaine factice https[:]//dynamiclake[.]org. Le paquet inclut un fichier « Drag Into Terminal.msi » (extension inhabituelle sur macOS) incitant l’utilisateur à exécuter un one‑liner curl | bash pour contourner Gatekeeper et lancer l’infection en mémoire. ⚙️ Chaîne d’exécution et évasion ...

Source: GBHackers Security — L’article décrit la reprise d’activité de l’infostealer Lumma après le doxxing présumé de ses membres clés, ainsi que l’apparition de capacités plus sophistiquées, notamment l’utilisation de l’empreinte navigateur. Après le doxxing présumé de ses membres clés, le voleur d’informations Lumma Stealer (Water Kurita, selon Trend Micro) avait connu une forte chute d’activité, ses clients migrant vers Vidar ou StealC. Mais depuis fin octobre 2025, une reprise soutenue est observée, accompagnée d’évolutions majeures dans les capacités du malware, notamment une nouvelle infrastructure de fingerprinting navigateur et des techniques renforcées d’évasion. ...

Selon Datadog Security Labs, une campagne suivie sous l’identifiant MUT-4831 a introduit 17 paquets npm (23 versions) trojanisés qui exécutent un téléchargeur lors du postinstall et livrent le malware Vidar sur des systèmes Windows. Découverte et périmètre: GuardDog (analyse statique) a détecté le 21 octobre 2025 le paquet custom-tg-bot-plan@1.0.1 avec des indicateurs clés dont un script “postinstall”. Au total, 17 paquets distribués en deux salves (21–22 et 26 octobre) affichaient des indices similaires, se faisant passer pour des helpers Telegram, bibliothèques d’icônes ou des forks légitimes (p. ex. Cursor, React). Les paquets ont été publiés par deux comptes npm récemment créés (aartje, salii i229911), depuis bannis; ils sont restés en ligne environ deux semaines et ont cumulé au moins 2 240 téléchargements (dont des scrapers), avec un pic à 503 téléchargements uniques pour react-icon-pkg. ...

Selon BleepingComputer (Lawrence Abrams), l’opération de malware-as-a-service Rhadamanthys subit une perturbation importante, avec de nombreux « clients » affirmant avoir perdu l’accès à leurs serveurs et panneaux web. Rhadamanthys est un infostealer qui dérobe des identifiants et cookies d’authentification depuis des navigateurs, clients mail et autres applications. Il est diffusé via des faux cracks logiciels, des vidéos YouTube et des publicités malveillantes dans les moteurs de recherche. Le service est proposé par abonnement, incluant support et panneau web pour collecter les données volées. ...

Contexte — The Register (Carly Page) rapporte que Google, en collaboration avec Check Point, a supprimé des milliers de vidéos malveillantes publiées sur YouTube par un réseau baptisé ‘YouTube Ghost Network’, actif depuis 2021 et fortement intensifié en 2025. Le mode opératoire reposait sur des comptes YouTube légitimes compromis et des faux comptes orchestrés pour publier des tutoriels promettant des copies piratées de logiciels (Photoshop, FL Studio, Microsoft Office, Lightroom, outils Adobe) et des cheats de jeux, notamment pour Roblox 🎮. Les victimes étaient incitées à désactiver leur antivirus puis à télécharger des archives depuis Dropbox, Google Drive ou MediaFire contenant des infostealers comme Rhadamanthys et Lumma, qui exfiltraient identifiants, portefeuilles crypto et données système vers des serveurs de commande et contrôle (C2). Certains contenus redirigeaient aussi vers des pages de phishing hébergées sur Google Sites visant des utilisateurs de cryptomonnaies. ...

Selon BleepingComputer, une nouvelle campagne malveillante cible les développeurs macOS en usurpant des plateformes populaires (Homebrew, LogMeIn et TradingView) afin de diffuser des malwares voleurs d’informations. La campagne repose sur l’usurpation de sites/plateformes légitimes (Homebrew, LogMeIn, TradingView) qui servent de leurre pour amener les victimes à installer des logiciels compromis. Les charges utiles identifiées incluent des infostealers tels que AMOS (Atomic macOS Stealer) et Odyssey. Les cibles explicitement mentionnées sont les développeurs macOS, attirés par des outils ou plateformes familiers et largement utilisés dans leurs activités. ...