L’inévitable vient de se produire dans le monde de la cybersécurité. Mosyle, une entreprise spécialisée dans la gestion et la protection des appareils Apple, a signalé auprès de 9to5Mac une campagne de logiciels malveillants inédite sur macOS. Baptisée SimpleStealth, cette menace marque un tournant historique, puisque c’est le premier échantillon découvert dans la nature contenant du code manifestement écrit par des modèles d’intelligence artificielle générative.

macOS Tahoe MacBook Pro iMac MacBook Air

Un mineur de cryptomonnaie qui ne s’active qu’au repos

Les pirates diffusent ce malware via un site Web contrefait, utilisant un nom de domaine trompeur pour imiter l’application d’intelligence artificielle Grok. Le piège est redoutable : une fois le faux installateur téléchargé et lancé, la victime se retrouve face à une interface fonctionnelle qui ressemble à s’y méprendre à la véritable application.

Cette technique de leurre permet de maintenir l’attention de l’utilisateur sur une activité légitime apparente, tandis que le code malveillant s’exécute silencieusement en arrière-plan. Cette stratégie augmente considérablement la durée de vie de l’infection avant qu’elle ne soit repérée.

L’objectif réel de SimpleStealth est financier. Le logiciel malveillant déploie un mineur de la cryptomonnaie Monero (XMR), réputée pour sa confidentialité et ses paiements rapides. Pour rester indétectable, le programme fait preuve d’une discrétion :

  • Le minage ne débute que lorsque le Mac est inactif depuis au moins une minute.
  • L’activité cesse immédiatement dès que l’utilisateur bouge la souris ou tape au clavier.
  • Les processus malveillants se camouflent en imitant des tâches système courantes comme kernel_task ou launchd.

Lors de sa découverte, cette menace échappait à tous les principaux moteurs antivirus, confirmant les avertissements lancés il y a un an par le Moonlock Lab sur l’utilisation des LLM (grands modèles de langage) par les hackers.

L’IA abaisse la barrière technique pour les pirates

L’analyse du code source a révélé la signature indéniable de l’intelligence artificielle. Les chercheurs de Mosyle ont relevé des commentaires anormalement longs, un mélange de portugais brésilien et d’anglais, ainsi que des logiques répétitives typiques des scripts générés par IA.

Intelligence artificielle

Cette évolution est alarmante car elle démocratise la création de menaces sophistiquées. L’IA permet désormais à presque n’importe qui disposant d’une connexion Internet de concevoir des malwares comme SimpleStealth, accélérant le rythme de déploiement de nouvelles attaques.

Dès sa première exécution, SimpleStealth est conçu pour déjouer les garde-fous d’Apple. Sous prétexte de finaliser une configuration banale, l’application demande le mot de passe système de l’utilisateur. Cette autorisation permet au malware de supprimer les protections de quarantaine d’Apple et de préparer sa charge utile, tout en continuant d’afficher du contenu lié à l’IA pour ne pas éveiller les soupçons.

Pour se prémunir, la règle d’or reste inchangée : évitez les téléchargements depuis des sites que vous ne connaissez pas et privilégiez toujours le Mac App Store ou les sites des développeurs de confiance.