MacOS Malware

🔍 Contexte Analyse technique publiée le 1er mai 2026 par Ireneusz Tarnowski (DFIR & CTI Expert) sur Medium. L’article décrit une campagne active de distribution de malwares multi-étapes observée sur une période prolongée, avec une évolution des techniques au fil du temps. 🎯 Vecteur initial : SEO poisoning et malvertising La campagne repose sur du SEO poisoning et du malvertising via des résultats sponsorisés dans les moteurs de recherche. Les victimes recherchant des outils populaires (“Claude Code”, “NotebookLM download”) sont redirigées vers des pages de phishing hébergées sur des plateformes SaaS légitimes : ...

Source et contexte : Securelist (Kaspersky) publie un rapport trimestriel sur l’évolution des menaces non mobiles au T3 2025, couvrant Windows, macOS et IoT, avec tendances, chiffres clés et campagnes marquantes. 📊 Chiffres globaux Kaspersky a bloqué plus de 389 M d’attaques provenant de ressources en ligne; Web Anti‑Virus a réagi à 52 M d’URLs uniques. File Anti‑Virus a bloqué plus de 21 M d’objets malveillants ou potentiellement indésirables. 2 200+ nouveaux variants de ransomware détectés; ~85 000 utilisateurs ont subi des attaques ransomware; plus de 254 000 utilisateurs ciblés par des mineurs. 🔒 Ransomware : activités, groupes et répression ...

Microsoft Threat Intelligence (Microsoft Security Blog) publie une analyse d’une nouvelle variante du malware macOS XCSSET, axée sur l’infection d’environnements de développement Xcode et l’extension de ses capacités d’exfiltration et de persistance. • Le malware introduit une chaîne d’infection en quatre étapes et des modules mis à jour. Il se propage via des projets Xcode partagés entre développeurs 👨‍💻. Il renforce la furtivité en utilisant des AppleScripts compilés en mode run‑only et des communications C2 chiffrées en AES avec une clé prédéfinie. ...

L’article publié sur le blog de PolySwarm met en lumière l’évolution significative du malware Atomic macOS Stealer (AMOS), qui intègre désormais un backdoor persistant permettant un accès à long terme aux systèmes infectés et l’exécution de commandes à distance. Cette transformation fait d’AMOS une menace persistante sophistiquée, touchant plus de 120 pays. Le malware cible principalement les détenteurs de cryptomonnaies et les freelances via des campagnes de spear phishing et la distribution de logiciels piratés, avec une activité notable aux États-Unis, au Royaume-Uni, en France, en Italie et au Canada. ...