Après avoir partagé en exclusivité des détails sur ModStealer, un infostealer multiplateforme invisible aux principaux moteurs antivirus, Mosyle, leader en gestion et sécurité des appareils Apple, revient avec deux nouvelles menaces macOS qui passent totalement sous radar.
Le Mosyle Security Research Team révèle avoir identifié deux échantillons précédemment indétectés : Phoenix Worm, un stager multiplateforme, et ShadeStager, un implant modulaire macOS conçu pour le vol de données d’identification. Bien qu’ils ne soient pas directement interconnectés, ces deux menaces illustrent l’évolution sophistication croissante des malwares sur Mac.
Cette découverte coïncide avec les tendances observées par l’ensemble de l’industrie. Comme rapporté précédemment, les infostealers et trojans, tels qu’Atomic Stealer, dominent le paysage de la sécurité sur Mac depuis un an, les attaquants optant pour des approches moins bruyantes et plus persistantes. Phoenix Worm et ShadeStager en sont d’excellents exemples.
PHOENIX WORM : UN STAGER DISCRÈT
Malgré son nom, Phoenix Worm est bel et bien un stager. Ce malware basé sur Golang fonctionne comme un stager en établissant un point d’ancrage avant de procéder à des attaques plus complexes. Cette méthode présente plusieurs avantages.
D’après Mosyle, Phoenix Worm permet :
- d’établir la communication avec un serveur de commande et de contrôle (C2) distant
- de générer des identifiants uniques pour les systèmes infectés
- de transmettre des données système aux attaquants
- d’assurer des mises à jour à distance et d’exécuter des charges utiles supplémentaires
Phoenix Worm ne semble pas être une menace autonome. Sa conception suggère qu’il fait partie d’un ensemble d’outils plus large, destiné à transférer l’exécution à des charges utiles plus avancées le long de la chaîne d’attaque.
Lors de l’analyse, aucun moteur antivirus n’a pu détecter les variantes macOS ou Linux, avec seulement une détection limitée sur Windows.
SHADESTAGER : CONÇU POUR LE VOL D’IDENTIFIANTS
ShadeStager fonctionne comme un outil post-exploitation, ciblant les données sensibles de systèmes déjà compromis. Bien que cela semble en faire le compagnon idéal de Phoenix Worm, les deux ne sont pas liés.
ShadeStager se concentre sur les environnements de développement et les infrastructures cloud, visant spécifiquement :
- les clés SSH et les hôtes connus
- les identifiants cloud d’AWS, Azure, et GCP
- les fichiers de configuration Kubernetes
- les données d’authentification Git et Docker
- les profils de navigateur complets sur les principaux navigateurs
Il effectue également un large éventail de reconnaissance sur l’hôte, collectant des informations utilisateur, des privilèges, des détails sur l’OS et le matériel, la configuration réseau et les variables d’environnement liées aux sessions cloud et SSH, selon Mosyle. Toutes ces données sont structurées et exfiltrées via HTTPS, avec le support pour l’exécution de commandes, l’exfiltration de données et les téléchargements de fichiers.
Fait intéressant, ShadeStager ne comprend pas d’adresse C2 hardcodée, et certaines parties du code du malware étaient visibles pour les chercheurs de Mosyle sans nécessiter de travail supplémentaire de rétro-ingénierie des binaires. Cela suggère fortement que l’échantillon de malware était encore en développement au moment de sa découverte.
RÉCAPITULATIF
Phoenix Worm et ShadeStager ne sont pas connectés, mais ils s’inscrivent dans le même modèle d’attaque qui devient de plus en plus commun. L’un établit l’accès, l’autre extrait des identifiants et des jetons cloud, et aucun n’a été détecté par un moteur antivirus lors de leur découverte.
La tendance des malwares sur Mac en 2026 s’oriente vers des écritures en Go et Rust pour une compatibilité multiplateforme, la livraison de charges utiles modulaires qui séparent l’accès initial de la post-exploitation, et la configuration dynamique des infrastructures C2 afin qu’aucun élément statique ne corresponde à une signature. Le parfait exemple reste Atomic Stealer, une famille de malware inquiétante qui opère de cette manière depuis un certain temps, cette approche se répandant à travers des échantillons sans lien.
La détection basée sur les signatures n’est plus suffisante. Une détection comportementale et une visibilité en temps réel sont désormais des fondamentaux pour les administrateurs et les équipes de sécurité protégeant les environnements macOS aujourd’hui.
INDICATEURS DE COMPROMISSION
Pour les administrateurs Mac souhaitant intégrer ces menaces à leurs outils de sécurité, Mosyle a partagé les hachages SHA256 suivants :
- ShadeStager : 7e8003bee92832b695feb7ae86967e13a859bdac4638fa76586b9202df3d0156
- Phoenix Worm : 54ef0c8d7e167053b711853057e3680d94a2130e922cf3c717adf7974888cad2
