Depuis son émergence en 2023, AMOS (Atomic macOS Stealer) est devenu le malware le plus redouté ciblant l’écosystème Apple. Conçu pour extraire discrètement des informations sensibles des systèmes macOS, il est désormais un nom bien connu parmi les chercheurs en sécurité et les journalistes.
Cependant, Moonlock, la division cybersécurité de MacPaw, signale qu’un nouvel acteur menace de prendre le relais avec un infostealer en plein essor sur les forums darknet. Dans cette édition de Security Bite, nous examinons cette nouvelle menace intéressante et son impact sur le paysage macOS.
Présumé d’origine russe, le développeur de ce maliciel, connu sous le pseudonyme de « mentalpositive », a lancé un infostealer baptisé Mac.c. Bien qu’il soit actif depuis seulement quatre mois, Mac.c rivalise déjà avec des opérations plus établies comme AMOS, selon un article de blog de Moonlock pour HackerNoon.
La méthode de travail de mentalpositive, à la fois méthodique et étonnamment transparente, a suscité de l’intérêt. Le développeur a partagé des mises à jour sur ses progrès et sollicité des retours d’expérience sur les versions précédentes de Mac.c, une démarche rarement observée dans le développement de malwares. Nous pouvons rayer le « malware crowdsourcé » de notre liste de bingo pour 2025.
Sur le plan technique, Mac.c partage des similitudes de code avec AMOS et Rodrigo4, mais a été optimisé pour une exfiltration rapide et à fort impact des données. En allégeant le binaire, le malware se télécharge plus vite et laisse moins d’artefacts statiques, rendant sa détection plus difficile. De plus, un nombre croissant d’URL a été ajouté à chaque mise à jour, suggérant que son infrastructure de commande et de contrôle fait probablement partie d’une opération plus vaste.
La visibilité accrue de ce malware pourrait indiquer une volonté de se démarquer et de créer une présence distincte sur le marché. Moonlock met aussi en lumière l’éventuelle préparation d’un modèle commercial de stealer-as-a-service, ciblant spécifiquement le créneau des menaces sur macOS.
Qui plus est, mentalpositive propose même une interface web pour ses clients achetant l’infostealer Mac.c. À travers ce panel, les acheteurs peuvent générer des builds personnalisés pour contourner XProtect, surveiller des statistiques d’infection et gérer les détails de leurs campagnes. Une révélation qui en dit long sur la nature de ces individus.
Tout récemment, Moonlock a noté que les dernières mises à jour de mentalpositive incluent des capacités de contournement de XProtect, une liste élargie de navigateurs supportés, l’activation de modules de capture de fichiers via le panneau de contrôle, et, ce qui est particulièrement inquiétant, un module séparé pour le phishing des phrases de sécurité Trezor.
Bien que le marché des malwares sur macOS reste inférieur à son homologue Windows, il gagne en popularité parmi les cybercriminels, principalement en raison du nombre croissant d’utilisateurs intéressés par la plateforme. Les livraisons de Mac ont dépassé celles de tous les fabricants de PC aux États-Unis au dernier trimestre de l’année dernière, enregistrant une croissance de 25,9 % d’une année sur l’autre. Selon le cabinet de recherche Canalys, la part d’Apple dans le marché global des ordinateurs (hors tablettes) est désormais d’environ 17,1 %.
Cela représente une opportunité en or. Le marché des menaces macOS devient de plus en plus attractif pour les développeurs de malwares ambitieux, qui cherchent à tirer parti des nouveaux utilisateurs de la plateforme. Les utilisateurs de Mac, tant en entreprise que personnellement, sont de plus en plus victimes de ces menaces, malgré les efforts d’Apple pour complexifier le contournement de Gatekeeper et renforcer XProtect.
Les infostealers, en particulier, continuent de connaître une popularité croissante. Selon Jamf, ils ont désormais dépassé les adwares en tant que forme dominante de malware, représentant 28,36 % de tous les malwares sur Mac détectés.
Cette montée en puissance s’explique par leur accessibilité et la faible barrière d’entrée pour les cybercriminels. Des entités comme mentalpositive sont en train de développer des modèles de Malware-as-a-Service (MaaS), permettant à des affiliés moins habiles techniquement de louer des outils comme des infostealers.
Pour se prémunir contre ces menaces, il est crucial de suivre quelques règles de sécurité fondamentales : faire preuve de prudence avant d’installer des applications en dehors de l’App Store officiel, vérifier les liens avant de les ouvrir, utiliser des mots de passe complexes et une authentification à deux facteurs, accorder des permissions avec parcimonie, et maintenir son système à jour.
