MacOS

Selon Iru Threat Intelligence (Calvin So), publié le 19 février 2026, des chercheurs ont analysé une campagne de « loader » macOS diffusée massivement via des DMG se faisant passer pour des plugins audio crackés. La campagne met en œuvre un loader multi‑étapes livré par des DMG non signés contenant un binaire Mach‑O (« Meta Installer ») et un script Bash. Le binaire (x86_64, ciblant Intel et potentiellement Apple Silicon via Rosetta) lit un Installer.plist pointant vers un C2 pour récupérer des charges utiles. Pour contourner Gatekeeper/XProtect, les opérateurs recourent à des chaînes en plusieurs étapes avec des scripts obfusqués et des leurres ClickFix (fenêtre navigateur incitant l’utilisateur à copier/coller des commandes), transformant l’utilisateur en exécuteur du code malveillant. ...

Selon Daylight Security (équipe MDR), une campagne d’infostealer active cible des utilisateurs macOS et Windows via l’empoisonnement SEO et des dépôts GitHub frauduleux se faisant passer pour des outils légitimes (ex. PagerDuty), avec une infrastructure toujours active depuis 2025. • Les acteurs manipulent les résultats de recherche Google pour placer de faux dépôts GitHub en tête, contenant uniquement un README.md et renvoyant vers des pages GitHub Pages. Plus de 20+ dépôts malveillants sont actifs depuis septembre 2025; la campagne, déjà signalée par Jamf et LastPass, reste hautement active en janvier 2026. ...

Selon 9to5Mac, Mosyle a partagé en exclusivité la découverte de « SimpleStealth », une campagne de malware macOS qui intègre du code provenant de modèles d’IA générative — une première observée « dans la nature ». Au moment de l’analyse, la menace n’était détectée par aucun des principaux antivirus. La diffusion s’appuie sur un site factice imitant l’application d’IA populaire Grok, hébergé sur un domaine ressemblant à l’original. Les victimes téléchargent un installateur macOS nommé « Grok.dmg ». Une fois lancé, l’utilisateur voit une app qui semble pleinement fonctionnelle et fidèle au vrai Grok, tandis que les activités malveillantes s’exécutent discrètement en arrière-plan. ...

Selon BleepingComputer, une quatrième vague de la campagne GlassWorm cible des développeurs macOS en utilisant des extensions malveillantes de VSCode/OpenVSX pour livrer des versions trojanisées d’applications de portefeuilles crypto. L’attaque repose sur des extensions VSCode/OpenVSX malveillantes qui servent de vecteur pour déposer des applications de portefeuilles crypto trojanisées sur les machines des victimes. Les développeurs macOS sont explicitement visés 🎯. Contexte général Une quatrième vague de la campagne malveillante GlassWorm cible désormais exclusivement les développeurs macOS, marquant une évolution notable par rapport aux précédentes attaques orientées Windows. L’attaque repose sur des extensions malveillantes VS Code/OpenVSX qui distribuent des versions trojanisées de portefeuilles de cryptomonnaies. ...

Selon Jamf Threat Labs (blog Jamf), une nouvelle itération de l’infostealer macOS MacSync Stealer abandonne les chaînes d’exécution « drag‑to‑terminal/ClickFix » au profit d’un dropper Swift code‑signé et notarisé, distribué dans une image disque, qui récupère et exécute un script de second étage de façon plus discrète. Le binaire Mach‑O universel est signé et notarisé (Developer Team ID GNJLS3UYZ4) et a été livré dans un DMG nommé zk-call-messenger-installer-3.9.2-lts.dmg, accessible via https://zkcall.net/download. Le DMG est volumineux (25,5 Mo) en raison de fichiers leurres (PDF liés à LibreOffice) intégrés. Au moment de l’analyse initiale, les hachages n’étaient pas révoqués, puis Jamf a signalé l’abus à Apple et le certificat a été révoqué. Sur VirusTotal, les échantillons allaient de 1 à 13 détections, classés surtout comme téléchargeurs génériques (familles « coins » ou « ooiid »). ...

Selon la page de présentation de MacPersistenceChecker, la version 1.8.1 propose un outil de sécurité natif macOS (13+) qui inventorie et évalue tous les mécanismes de persistance pour aider à identifier malwares et comportements indésirables. L’outil réalise un scan étendu des vecteurs de persistance (LaunchDaemons/Agents, Login Items, kexts, System Extensions, Privileged Helpers, cron, profils de configuration, Application Support, scripts périodiques, fichiers shell de démarrage, hooks legacy, plugins variés, BTM, détections DYLD, TCC/Accessibilité). Chaque item reçoit un Risk Score (0-100) avec niveaux de sévérité et des heuristiques avancées (signatures invalides, entitlements dangereux, emplacements suspects, anomalies de fréquence de lancement, mismatch plist/binaire, anomalies temporelles). Un système de Trust Levels classe les éléments (Apple, Known Vendor, Signed, Unknown, Suspicious, Unsigned). ...

Source: blog de Pepe Berba — Le 14 décembre 2025, Pepe Berba présente « applescript-decompiler », un outil capable de reconstruire le code lisible de scripts AppleScript compilés en mode run-only, avec des démonstrations sur des échantillons XCSSET et OSAMiner. 🛠️ L’auteur souligne que les scripts AppleScript, de plus en plus exploités par des malwares macOS, tirent parti de l’automatisation UI et des Apple events, et que la variante « run-only » complique l’analyse. En s’appuyant sur applescript-disassembler, l’outil comble un manque de tooling que Microsoft Threat Intelligence jugeait jusque-là difficile, voire infaisable à résoudre en décompilation directe. ...

Selon BleepingComputer, une nouvelle campagne liée au malware AMOS cible les utilisateurs via des publicités Google et des conversations se présentant comme Grok ou ChatGPT. La campagne abuse des Google Search Ads pour attirer les victimes vers des conversations Grok/ChatGPT qui paraissent « utiles ». Ces échanges servent de leurre et conduisent à l’installation du voleur d’informations AMOS sur macOS. L’élément central de l’attaque est un leurre conversationnel crédible, orchestré après un premier contact via malvertising. L’issue décrite est l’infection macOS par AMOS (info-stealer). ...

Source et contexte: Huntress (blog, 9 décembre 2025) analyse un incident triagé le 5 décembre 2025 impliquant l’infostealer macOS AMOS livré via des résultats Google menant à de vraies conversations partagées sur ChatGPT et Grok, empoisonnées pour insérer une commande Terminal malveillante. • Chaîne d’infection: un utilisateur cherche « clear disk space on macOS », clique un résultat de conversation ChatGPT/Grok légitime et copie/colle une commande Terminal présentée comme « sûre ». Cette commande contient une URL encodée en base64 vers un script bash qui déclenche une infection multi‑étapes. Aucune alerte Gatekeeper, aucun téléchargement manuel apparent: initial access par empoisonnement SEO/IA et copier-coller dans le Terminal. ...

Source: Huntress (blog), publié le 9 décembre 2025. Contexte: analyse de menace détaillant une campagne d’AMOS (Atomic macOS Stealer) qui détourne la confiance accordée aux plateformes d’IA et aux moteurs de recherche pour livrer un infostealer sur macOS sans alerte visible. • Vecteur initial — empoisonnement SEO/IA: Des recherches banales type “clear disk space on macOS” renvoient en tête de Google vers des conversations légitimes hébergées sur chatgpt.com et grok.com. Ces chats, présentés comme des guides de nettoyage « sûrs », contiennent une commande Terminal qui, une fois copiée-collée, télécharge un loader AMOS (ex. URL décodée vers hxxps://putuartana[.]com/cleangpt). Aucune pièce jointe ou installateur malveillant, pas d’avertissement macOS: juste recherche → clic → copy/paste. ...