Le premier trimestre de cette année a été relativement calme du côté de l’iPhone. Dans cette revue Q1, nous allons nous concentrer sur le paysage des logiciels malveillants sur Mac et analyser les tendances qui s’y dessinent.
Voici trois conclusions majeures de cette analyse : les attaquants ont largement cessé d’essayer de pénétrer les Macs ; ils trouvent désormais des moyens de se faire entrer.
CLICKFIX : LA DOMINANTE DES MENACES
Le paysage est encore dominé par ClickFix. Ce n’est pas une surprise. Au cours de ce premier semestre, les nouvelles méthodes d’attaque ClickFix ont été largement discutées, et un épisode complet de podcast y a été consacré.
ClickFix a évolué pour devenir le principal moyen d’infecter un Mac. Cette technique de manipulation sociale consiste à créer de faux messages d’erreur ou des étapes de vérification, incitant les utilisateurs à coller des commandes malveillantes dans Terminal. Une fois exécutées, ces commandes sont traitées comme des actions légitimes.
Le rapport Digital Defense 2025 de Microsoft a désigné ClickFix comme la méthode d’accès initial la plus courante, représentant environ 47 % des attaques signalées. Selon une étude de Moonlock Lab, 66 % des utilisateurs de Mac avec leur logiciel installé ont rencontré au moins une menace en 2025, ClickFix étant en tête.
Les attaques continuent d’utiliser de faux CAPTCHAs, des pages trompeuses prétendant “libérer de l’espace disque”, et même des téléchargements malveillants se faisant passer pour ChatGPT ou d’autres applications. Des acteurs malveillants exploitent également les publicités Google pour promouvoir des instructions malveillantes en positionnant de faux résultats de recherche en tête.
SÉCURITÉ DANS MACOS TAHOE 26.4
Le changement de sécurité le plus significatif en Q1 provient de macOS Tahoe 26.4, où Apple a introduit de nouvelles alertes lorsque des commandes suspectes sont collées dans Terminal. Pourtant, cette mesure a été contournée par un variant de ClickFix qui utilise des pages Apple falsifiées et des schémas URL obscurs, évitant que les avertissements ne s’affichent.
La compétition entre Apple et les auteurs de logiciels malveillants semble sans fin.
LES INFOSTEALERS ÉVOLUENT
Un rapport de Jamf a révélé que les chevaux de Troie représentent désormais 50,32 % des détections, marquant une augmentation significative. Atomic Stealer a été identifié comme la source principale de l’activité des chevaux de Troie, illustrant l’évolution de la sophistication des malware sur Mac.
Les malware modernes ne se contentent plus de voler des données, ils sont souvent équipés d’arrière-plans pour assurer leur persistance, rendant leur détection plus difficile. Des instances de logiciels comme DigitStealer et ChillyHell, de nouveaux échantillons qui échappent aux détections antivirus, illustrent cette tendance inquiétante.
LA CYBERCRIMINALITÉ NORVÉGIENNE EN HAUSSE
Les groupes nord-coréens continuent d’être une menace significative, ayant recours à des stratagèmes de recrutement trompeurs pour infiltrer les systèmes de développement. Ces méthodes incriminent des malware comme BeaverTail et OtterCookie, reflétant une sophistication croissante dans leurs attaques.
En parallèle, l’intelligence artificielle est à la fois un outil pour les attaquants et les défenseurs. Des recherches récentes font état de malware fabriqués en partie à l’aide de code généré par des intelligences artificielles.
Apple a pris des mesures significatives dans le domaine de la sécurité de macOS, mais la concurrence entre l’innovation en matière d’attaques et la défense reste serrée.
