Les mécanismes de protection de macOS viennent d’être mis à rude épreuve. Des chercheurs en cybersécurité ont identifié une nouvelle variante du malware MacSync Stealer capable de contourner Gatekeeper, le système de défense intégré d’Apple, en exploitant directement le processus de notarisation officiel d’Apple.

Gatekeeper est conçu pour empêcher l’exécution de logiciels malveillants en bloquant les applications non signées ou non validées par Apple. Jusqu’ici, les attaques nécessitaient souvent des manipulations suspectes de la part de l’utilisateur, mais désormais, le processus est beaucoup plus discret.

Une application signée et validée… mais piégée

Les chercheurs en cybersécurité de Jamf Threat Labs expliquent que cette version de MacSync Stealer se présente sous la forme d’une application Swift signée et notarée, associée à un identifiant développeur valide. L’utilisateur est alors incité à installer un faux logiciel de messagerie baptisé « zk-Call & Messenger », sachant qu’un simple double-clic suffit, sans alerte de sécurité.

« L’exécutable est bien signé et reconnu comme légitime par macOS », expliquent les chercheurs. Le fichier, volontairement volumineux, contient des éléments factices afin de renforcer son apparente crédibilité.

Un chargement différé du code malveillant

Fait notable, l’application notarée ne contient pas directement le malware. Une fois lancée, cette dernière télécharge une charge secondaire depuis un serveur distant, qui installe alors le logiciel espion. Cette procédure en deux temps complique considérablement la détection lors du processus de validation par Apple.

Apple réagit, mais la menace demeure

Jamf indique avoir signalé l’identifiant développeur concerné à Apple, ce qui a entraîné la révocation du certificat. Toutefois, « certains éléments techniques n’étaient pas encore bloqués au moment de la publication », précisent les chercheurs.

Pour les utilisateurs Mac, la recommandation de sécurité reste inchangée : rester vigilant, installer des logiciels uniquement depuis des sources fiables et se méfier des applications inconnues… même donc lorsque ces dernières semblent validées par le système.