Après avoir prévenu le mois dernier d’un malware Mac indétectable caché dans un faux outil de conversion PDF, Mosyle, un leader en gestion et sécurité des appareils Apple, a dévoilé un nouveau logiciel malveillant. Baptisé ModStealer, ce malware reste invisible pour tous les principaux moteurs antivirus depuis son apparition sur VirusTotal il y a presque un mois.
Selon les détails partagés exclusivement, ModStealer ne cible pas seulement les systèmes macOS, mais est conçu pour être multiplaforme et a un seul objectif : le vol de données.
Les analyses de Mosyle indiquent que ModStealer est distribué aux victimes par le biais d’annonces malveillantes de recruteurs ciblant les développeurs. Ce dernier utilise un fichier JavaScript fortement obfusqué écrit en NodeJS qui échappe complètement aux défenses basées sur des signatures. Et il ne s’arrête pas aux utilisateurs de Mac ; les environnements Windows et Linux sont également concernés.
La principale fonction du malware est l’exfiltration de données, en mettant l’accent sur les portefeuilles de cryptomonnaie, les fichiers d’identification, les détails de configuration et les certificats. Mosyle a trouvé du code préchargé ciblant 56 extensions de portefeuilles de navigateurs différents, y compris Safari, destiné à extraire des clés privées et des informations sensibles sur les comptes.
Les chercheurs de la société ont également découvert que ModStealer est capable de capturer le presse-papiers, de réaliser des captures d’écran et d’exécuter du code à distance. Les deux premières fonctions sont déjà préoccupantes, mais la dernière peut offrir aux attaquants un contrôle presque total sur les dispositifs infectés.
Ce qui rend cette découverte si alarmante, c’est la discrétion avec laquelle ModStealer opère. Sur macOS, le malware parvient à conserver une présence indétectable à long terme sur le Mac d’une victime en abusant de l’outil launchctl d’Apple, s’imbriquant en tant que LaunchAgent. De là, il surveille silencieusement l’activité et exfiltre des informations sensibles vers un serveur distant. Les chercheurs de Mosyle indiquent que le serveur hébergeant les données volées semble être en Finlande mais est lié à une infrastructure en Allemagne, probablement pour masquer la véritable localisation des opérateurs.
Selon Mosyle, ModStealer s’inscrit dans le profil du Malware-as-a-Service (MaaS). Cela signifie que les développeurs de malware créent et vendent des paquets malveillants à des affiliés n’ayant que peu de compétences techniques. Ces affiliés reçoivent le malware prêt à l’emploi et peuvent l’orienter vers leurs cibles.
Ce modèle économique est devenu de plus en plus populaire parmi les gangs cybercriminels, particulièrement pour la distribution d’infostealers comme ModStealer. Plus tôt cette année, Jamf a signalé une augmentation de 28 % des malwares infostealers, faisant de cette famille de malware le type le plus répandu sur Mac en 2025.
« Pour les professionnels de la sécurité, les développeurs et les utilisateurs finaux, ceci nous rappelle avec force que les protections basées sur des signatures à elles seules sont insuffisantes. Une surveillance continue, des défenses basées sur le comportement et une sensibilisation aux menaces émergentes sont essentielles pour garder une longueur d’avance sur les adversaires », prévient Mosyle.
INDICATEURS DE COMPROMISSION :
* SHA256 hash : 8195148d1f697539e206a3db1018d3f2d6daf61a207c71a93ec659697d219e84
* Nom du fichier : .sysupdater[.]dat
* Adresse IP du serveur C2 : 95.217.121[.]184
