Après avoir averti la communauté sur l’existence d’un malware Mac dissimulé dans un faux convertisseur PDF, Mosyle, un leader dans la gestion et la sécurité des appareils Apple, a récemment découvert un nouvel infostealer. Nommé ModStealer, ce malware est resté invisible à tous les principaux moteurs antivirus depuis son apparition sur VirusTotal il y a près d’un mois.
Une menace multiplateforme
Selon les informations partagées par Mosyle, ModStealer ne se limite pas aux systèmes macOS, mais est conçu pour cibler plusieurs plateformes afin de voler des données sensibles.
Il est distribué aux victimes via des annonces frauduleuses de recruteurs spécialisés, ciblant les développeurs. En utilisant un fichier JavaScript fortement obfusqué écrit en NodeJS, il échappe totalement aux défenses basées sur les signatures.
Vol de données ciblé
La principale cible de ce malware est l’exfiltration de données, avec un intérêt particulier pour les portefeuilles de cryptomonnaie, les fichiers d’identification, les détails de configuration et les certificats. Mosyle a découvert du code préchargé visant 56 extensions de portefeuilles différents, y compris celles de Safari, destinées à extraire des clés privées et des informations de compte sensibles.
Des capacités alarmantes
Les chercheurs de Mosyle ont également révélé que ModStealer est capable de capturer le contenu du presse-papiers, de prendre des captures d’écran et d’exécuter du code à distance. Si les deux premières fonctionnalités sont préoccupantes, la dernière permet aux attaquants de prendre presque le contrôle total des appareils infectés.
Opérations furtives
Ce qui rend cette découverte particulièrement alarmante, c’est la discrétion avec laquelle ModStealer opère. Sur macOS, le malware réussit à se maintenir sur le Mac de la victime en abusant de l’outil launchctl d’Apple, s’installant comme un LaunchAgent. De là, il surveille en silence l’activité et exfiltre des informations sensibles vers un serveur distant, qui semble être basé en Finlande mais lié à une infrastructure en Allemagne, probablement pour camoufler la vraie localisation des opérateurs.
Un service de maliciel
Mosyle suppose que ModStealer s’inscrit dans le cadre du modèle Malware-as-a-Service (MaaS), où les développeurs de malwares créent et vendent des paquets malveillants à des affiliés, souvent peu expérimentés. Cette approche est de plus en plus prisée parmi les gangs de cybercriminalité, surtout pour la distribution d’infostealers comme ModStealer.
Au début de l’année, Jamf a signalé une augmentation de 28 % des malwares infostealers, les plaçant en tête des familles de malwares Mac en 2025.
« Pour les professionnels de la sécurité, les développeurs et les utilisateurs finaux, cela rappelle cruellement que les protections basées sur des signatures ne suffisent pas. Une surveillance continue, des défenses basées sur le comportement et une sensibilisation aux menaces émergentes sont essentielles pour devancer les adversaires », prévient Mosyle.
Indicateurs de compromission
- SHA256 hash : 8195148d1f697539e206a3db1018d3f2d6daf61a207c71a93ec659697d219e84
- Nom de fichier : .sysupdater[.]dat
- Adresse IP du serveur C2 : 95.217.121[.]184
