Mosyle, une entreprise de gestion et de sécurité des appareils Apple, a partagé des détails sur une campagne de malware macOS jusqu’alors inconnue. Bien que des mineurs de cryptomonnaie sur macOS ne soient pas une nouveauté, la découverte représente la première instance d’un échantillon de malware pour Mac développé avec des modèles d’IA générative, confirmant ainsi une tendance inévitable.
Au moment de sa découverte, l’équipe de recherche en sécurité de Mosyle a constaté que la menace échappait à tous les principaux moteurs antivirus. Cela survient presque un an après que Moonlock Lab a alerté sur des discussions sur des forums du dark web, indiquant que des modèles de langage de grande taille étaient utilisés pour rédiger des malwares ciblant le système macOS.
SimpleStealth : Une campagne astucieuse
La campagne, que Mosyle a nommée SimpleStealth, se propage via un faux site web convaincant qui imite l’application AI populaire, Grok. Les acteurs de la menace utilisent un domaine similaire pour tromper les utilisateurs et les inciter à télécharger un installateur macOS malveillant. Une fois lancé, les victimes sont accueillies par une application Grok qui paraît fonctionner parfaitement, masquant ainsi une activité malveillante qui s’exécute en arrière-plan.
Selon Mosyle, SimpleStealth est conçu pour contourner les protections de sécurité de macOS lors de sa première exécution. L’application demande à l’utilisateur son mot de passe système sous prétexte de compléter une tâche simple de configuration, ce qui permet au malware de désactiver les protections de quarantaine d’Apple et de préparer sa véritable charge utile.
Un mineur de cryptomonnaie dissimulé
En coulisses, le malware déploie un mineur de cryptomonnaie Monero (XMR), vantant des “paiements plus rapides” et se prétendant “confidentiel et introuvable”. Pour rester caché, l’activité minière ne commence que lorsque le Mac est inactif depuis au moins une minute et s’arrête immédiatement si l’utilisateur bouge la souris ou tape. Le mineur se camoufle encore davantage en imitant des processus système courants tels que kernel_task et launchd, rendant la détection de comportements anormaux plus complexe pour les utilisateurs.
Une analyse du code du malware révèle l’utilisation de l’IA, identifiable par des commentaires désordonnés, un mélange d’anglais et de portugais brésilien, ainsi que des schémas logiques répétitifs typiques des scripts générés par l’IA.
Un risque croissant pour la sécurité
Cette situation est alarmante car l’IA abaisse considérablement la barrière d’entrée pour les attaquants plus rapidement que les inquiétudes autour du ‘malware-as-a-service’. Quasi quiconque ayant accès à Internet peut désormais créer des échantillons tels que SimpleStealth, ce qui accélère la création et le déploiement de nouvelles menaces.
Il est conseillé d’éviter de télécharger quoi que ce soit depuis des sites tiers. Il est préférable de se procurer ses applications directement depuis le Mac App Store ou sur les sites de développeurs de confiance.
