Les mécanismes de protection de macOS, Gatekeeper en tête, sont mis à rude épreuve par une version évoluée du logiciel malveillant MacSync Stealer. Selon les chercheurs de Jamf Threat Labs, cette nouvelle variante abandonne les ruses complexes utilisées jusqu’à présent pour une approche plus directe et redoutable : l’utilisation d’une application Swift légalement signée et validée par Apple grâce à la notarisation.

macOS Gatekeeper Logo

Une variante de MacSync Stealer piège les utilisateurs sur Mac

Jusqu’à présent, les pirates devaient inciter les utilisateurs à effectuer des manipulations fastidieuses, comme glisser-déposer des fichiers dans le Terminal ou utiliser le clic droit pour forcer l’ouverture d’une application non reconnue. Cette époque semble révolue. La nouvelle méthode se cache derrière un installateur d’apparence légitime pour une application nommée « zk-Call & Messenger ».

Grâce à sa certification officielle et à sa notarisation par Apple associée à un véritable identifiant de développeur (Developer Team ID), le fichier malveillant s’exécute d’un simple double-clic, sans déclencher les alertes de sécurité habituelles de Gatekeeper par macOS. Pour parfaire l’illusion, le fichier pèse 25,5 Mo, gonflé artificiellement par des documents PDF inoffensifs pour simuler la taille crédible d’un installateur standard.

La subtilité de cette attaque réside dans son architecture en deux temps. L’installateur qui a eu la notarisation ne contient pas le virus lui-même, ce qui lui permet de passer les contrôles automatisés d’Apple. Une fois exécutée sur la machine cible, l’application agit comme un « dropper » : elle se connecte à un serveur distant pour télécharger et lancer le payload secondaire, à savoir le véritable MacSync Stealer.

Cette technique complique considérablement la tâche des systèmes de détection lors du processus de notarisation. Bien que ce type de faille ait déjà été observé par le passé, notamment en 2020, l’usage d’une application Swift signée qui récupère le code malveillant a posteriori marque une évolution inquiétante dans les stratégies de distribution des cybercriminels.

Apple a réagi

Suite au signalement de Jamf, Apple a révoqué le certificat du développeur incriminé. Toutefois, les hachages du répertoire de code n’avaient pas encore été ajoutés à la liste de révocation au moment de la publication du rapport, laissant une fenêtre de vulnérabilité potentielle.

Face à cette menace capable de déjouer les barrières techniques, la vigilance reste la meilleure défense. Il est impératif de vérifier la source de chaque téléchargement, en privilégiant systématiquement le Mac App Store ou les sites officiels des éditeurs reconnus.