MacSync Stealer

🔍 Contexte Publié le 6 mai 2026 par la Microsoft Defender Security Research Team, cet article documente l’évolution d’une campagne ClickFix ciblant les utilisateurs macOS, active depuis fin janvier 2026. La campagne exploite des plateformes de contenu légitimes (Medium, Craft, Squarespace) pour héberger de fausses instructions de dépannage. 🎯 Mécanisme d’infection Les victimes sont incitées à copier-coller des commandes Terminal encodées en Base64 présentées comme des utilitaires système. Contrairement aux bundles applicatifs soumis à Gatekeeper, les scripts exécutés via Terminal échappent aux vérifications de signature et de notarisation Apple. ...

📅 Source : SANS Internet Storm Center (diary de Brad Duncan), publié le 2026-05-01. 🎯 Contexte : Dans un contexte de croissance de l’usage des appareils macOS (MacBooks, Mac Minis), des campagnes de malvertising ciblent ces hôtes. Une annonce malveillante observée le 2026-04-30 dans les résultats de recherche Google usurpe l’identité de Homebrew, le gestionnaire de paquets tiers pour macOS. 🔗 Vecteur d’infection : La publicité redirige vers une fausse page Homebrew hébergée sur sites.google.com/view/brewpage. Cette page présente un script à copier-coller que la victime est invitée à exécuter dans un terminal macOS. ...

Selon Jamf Threat Labs (blog Jamf), une nouvelle itération de l’infostealer macOS MacSync Stealer abandonne les chaînes d’exécution « drag‑to‑terminal/ClickFix » au profit d’un dropper Swift code‑signé et notarisé, distribué dans une image disque, qui récupère et exécute un script de second étage de façon plus discrète. Le binaire Mach‑O universel est signé et notarisé (Developer Team ID GNJLS3UYZ4) et a été livré dans un DMG nommé zk-call-messenger-installer-3.9.2-lts.dmg, accessible via https://zkcall.net/download. Le DMG est volumineux (25,5 Mo) en raison de fichiers leurres (PDF liés à LibreOffice) intégrés. Au moment de l’analyse initiale, les hachages n’étaient pas révoqués, puis Jamf a signalé l’abus à Apple et le certificat a été révoqué. Sur VirusTotal, les échantillons allaient de 1 à 13 détections, classés surtout comme téléchargeurs génériques (familles « coins » ou « ooiid »). ...