La société Mosyle, spécialisée dans la gestion et la sécurité des appareils Apple, a partagé des détails exclusifs sur une campagne de malware macOS jusqu’alors inconnue. Si les mineurs de crypto-monnaies sur macOS ne sont pas une nouveauté, cette découverte semble être le premier exemple de malware pour Mac intégrant du code de modèles d’IA générative, confirmant ainsi ce que beaucoup redoutaient.
Selon l’équipe de recherche en sécurité de Mosyle, la menace était indétectée par tous les principaux moteurs antivirus au moment de sa découverte. Cette annonce intervient presque un an après que Moonlock Lab ait mis en garde sur des discussions sur des forums du dark web, indiquant que des modèles de langage étaient utilisés pour rédiger des malwares ciblant macOS.
Nom de code donné par Mosyle : SimpleStealth. Le malware se propage via un site Web tentant d’imiter l’application AI populaire, Grok. Les cybercriminels ont utilisé un domaine semblable pour tromper les utilisateurs et les inciter à télécharger un installateur macOS malveillant. Lorsqu’il est lancé, les victimes sont accueillies par une application Grok qui semble complètement fonctionnelle. Il s’agit d’une technique courante pour garder l’application au centre des préoccupations tandis qu’une activité malveillante se déroule discrètement en arrière-plan, permettant au malware d’opérer plus longtemps sans être détecté.
SimpleStealth est conçu pour contourner les protections de sécurité de macOS lors de sa première exécution. L’application demande à l’utilisateur son mot de passe système sous prétexte de compléter une tâche d’installation simple. Cela permet au malware de supprimer les protections mises en place par Apple et de préparer son véritable chargement. De l’extérieur, tout semble normal, l’application continuant d’afficher du contenu lié à l’IA que l’application Grok authentique proposerait.
Cependant, en coulisse, le malware déploie un mineur de crypto-monnaie Monero (XMR) vantant des « paiements plus rapides » et promettant d’être « confidentiel et introuvable ». Pour rester discret, l’activité de minage ne démarre que lorsque le Mac est inactif depuis au moins une minute et s’arrête immédiatement dès que l’utilisateur utilise sa souris ou tape. Le mineur se camoufle en imitant des processus système courants tel que kernel_task et launchd, rendant plus difficile pour les utilisateurs d’identifier un comportement anormal.
Des éléments de preuve examinés révèlent que l’usage de l’IA est omniprésent dans le code du malware, qui présente des commentaires inhabituellement longs, un mélange d’anglais et de portugais brésilien, ainsi que des motifs logiques répétitifs caractéristiques des scripts générés par l’IA.
La situation est alarmante pour plusieurs raisons. Principalement parce que l’IA abaisse rapidement la barrière d’entrée pour les attaquants, surpassant même les préoccupations concernant le concept de « malware-as-a-service ». Pratiquement quiconque ayant accès à Internet peut désormais concevoir des échantillons comme SimpleStealth, accélérant de manière significative le rythme auquel de nouvelles menaces peuvent être créées et déployées.
Pour rester en sécurité, il est conseillé d’éviter de télécharger quoi que ce soit depuis des sites tiers. Toujours se procurer ses applications directement depuis le Mac App Store ou sur les sites des développeurs de confiance.
