Les utilisateurs de macOS sont désormais dans la ligne de mire des cybercriminels. Un nouveau malware, baptisé FrigidStealer, s’attaque spécifiquement à ce système d’exploitation en se propageant par des mises à jour falsifiées. Cette découverte s’accompagne de l’identification de deux groupes de cybercriminels supplémentaires qui distribuent divers malwares en ligne, mettant en lumière la sophistication croissante des menaces visant les appareils Apple.
Un malware ciblant spécifiquement macOS
L’équipe de recherche Proofpoint a récemment identifié un malware particulièrement dangereux pour macOS, surnommé FrigidStealer. Ce logiciel malveillant est conçu pour voler des informations sensibles stockées sur les appareils Apple, notamment des cookies de navigateurs, des mots de passe, des données liées aux cryptomonnaies, et même des notes Apple.
FrigidStealer se distingue par sa méthode de diffusion, qui passe par des sites web compromis qui proposent de fausses mises à jour de navigateur. Ces mises à jour imitent celles de Safari et de Chrome, créant une interface d’apparence légitime qui attire l’utilisateur à cliquer sur un lien piégé. Le malware est distribué sous la forme d’un fichier DMG, équivalent macOS des fichiers ISO sous Windows, et une fois monté, il incite la victime à ouvrir le fichier en contournant les protections de sécurité de macOS, comme Gatekeeper.
Comment FrigidStealer contournent les sécurités macOS
Le mécanisme d’infection repose sur une manipulation subtile de l’utilisateur, qui est invité à effectuer un clic droit et à sélectionner l’option « Ouvrir ». Cette action permet de contourner la sécurité de Gatekeeper, qui est censée empêcher l’exécution de logiciels non signés ou malveillants. FrigidStealer utilise également le langage de programmation Go et s’appuie sur un projet open-source, WailsIO, pour afficher du contenu dans le navigateur, ce qui rend l’attaque encore plus difficile à détecter.
Une fois installé, FrigidStealer commence son travail de collecte de données sensibles en ciblant les cookies des navigateurs, les fichiers contenant des mots de passe, les informations sur les cryptomonnaies stockées dans les dossiers Bureau et Documents, ainsi que les notes Apple. Toutes ces données sont ensuite envoyées vers un serveur de contrôle, permettant aux cybercriminels d’exploiter les informations volées à leur profit.
Une double menace : FrigidStealer et deux nouveaux groupes cybercriminels
En plus de la découverte de FrigidStealer, l’enquête menée par Proofpoint a révélé l’existence de deux nouveaux groupes cybercriminels, nommés TA2726 et TA2727. Ces groupes sont responsables de l’infection des victimes par des malwares supplémentaires, qui ciblent plusieurs systèmes d’exploitation, dont macOS.
Le rôle de TA2726 dans la distribution de malwares
Le groupe TA2726, identifié comme étant actif depuis septembre 2022, joue un rôle clé dans la propagation de malwares à travers différentes campagnes d’injection web. Ce groupe se spécialise dans la distribution de trafic et redirige les victimes en fonction de leur localisation géographique. Ainsi, les utilisateurs d’Amérique du Nord et d’autres régions peuvent être ciblés différemment. Ce groupe collabore notamment avec les collectifs TA569 et TA2727 pour diffuser divers malwares, y compris FrigidStealer.
TA2727 : une approche multiplateforme
Le groupe TA2727, qui a été découvert au début de l’année 2025, se distingue par sa stratégie multiplateforme. En fonction du système d’exploitation de la victime, TA2727 distribue différents malwares, tels que FrigidStealer pour macOS, Lumma Stealer et DeerStealer pour Windows, et Marcher pour Android. Marcher est un cheval de Troie bancaire actif depuis 2013, ce qui montre l’expérience et la diversification des groupes cybercriminels impliqués dans ces attaques.
Un panorama inquiétant des menaces actuelles sur macOS
La découverte de FrigidStealer et des groupes malveillants TA2726 et TA2727 met en lumière l’évolution constante des menaces qui pèsent sur les utilisateurs de macOS. Alors que les appareils Apple étaient traditionnellement moins ciblés par les cybercriminels, cette situation a changé avec la montée en puissance des attaques sur macOS, qui bénéficient d’une sophistication sans précédent.
L’évolution des tactiques des cybercriminels
Les cybercriminels, face au renforcement des mesures de sécurité contre les malwares distribués par e-mail, n’hésitent plus à exploiter d’autres canaux pour mener leurs attaques. Les fausses mises à jour de logiciels, telles que celles utilisées par FrigidStealer, sont devenues une méthode courante pour tromper les utilisateurs et leur faire installer des malwares sans qu’ils s’en rendent compte. En outre, ces cybercriminels adaptent leur approche en fonction du système d’exploitation de la victime, augmentant ainsi leurs chances de succès.
Les utilisateurs de macOS, bien que moins souvent ciblés par les cybercriminels que ceux utilisant Windows, doivent désormais redoubler de vigilance. L’attaque par FrigidStealer est un exemple frappant de l’évolution des menaces, où la crédibilité de l’attaque repose sur une imitation minutieuse des mises à jour logicielles légitimes.
La réponse des utilisateurs face à la menace
Pour se protéger contre ce type d’attaque, les utilisateurs de macOS doivent être particulièrement vigilants lorsqu’ils reçoivent des demandes de mise à jour ou de téléchargement de logiciels. Il est essentiel de ne télécharger des mises à jour que depuis des sources officielles, telles que l’App Store ou les sites web des éditeurs de logiciels, et de vérifier la légitimité des mises à jour avant d’accepter leur installation.
En outre, l’utilisation de logiciels de sécurité spécialisés, qui offrent une protection contre les malwares, peut être un atout précieux. Les utilisateurs doivent également être conscients des risques liés à l’ouverture de fichiers DMG ou à l’exécution de fichiers téléchargés depuis des sources non vérifiées.
