New MacSync malware dropper evades macOS Gatekeeper checks

Une nouvelle menace furtive s’infiltre sur macOS

Une version évoluée du logiciel malveillant MacSync, conçu pour dérober des informations, cible désormais les systèmes macOS. Contrairement aux menaces précédentes nécessitant une interaction avec le terminal, cette nouvelle variante est distribuée via une application Swift signée numériquement et certifiée par Apple. Elle se présente dans une image disque nommée “zk-call-messenger-installer-3.9.2-lts.dmg” et téléchargeable depuis le site zkcall.net.

Au moment de l’analyse, cette application malveillante possédait une signature numérique valide associée à l’identifiant d’équipe développeur GNJLS3UYZ4, lui permettant de contourner les protections de Gatekeeper sur macOS. Suite à un signalement direct à Apple, le certificat a cependant été révoqué.

Une fois installée, le logiciel malveillant utilise diverses techniques d’évasion. Il gonfle la taille du fichier d’image disque en y intégrant de faux documents PDF, efface les scripts utilisés lors de son exécution et vérifie la connectivité Internet pour éviter les environnements de test isolés (sandboxing). Le malware est capable de voler des informations sensibles telles que les identifiants du trousseau iCloud, les mots de passe enregistrés dans les navigateurs, des métadonnées système, des données de portefeuilles de cryptomonnaies et des fichiers présents sur le système.

Ce type de logiciel malveillant, apparu initialement en avril 2025 sous le nom de Mac.C, gagne en popularité sur le marché des voleurs d’informations pour macOS, aux côtés d’autres menaces comme AMOS et Odyssey. Le développeur de ce malware a indiqué que les politiques de certification d’applications plus strictes de macOS ont influencé ses méthodes de développement.

Points clés :

• Distribution par application signée et certifiée : Contournement des protections de sécurité macOS.
• Techniques d’évasion avancées : Gonflement du DMG, effacement des scripts, vérification de connectivité.
• Vol d’informations sensibles : Identifiants iCloud, mots de passe de navigateurs, données de portefeuilles crypto.

Vulnérabilités/Menaces :

• La capacité du logiciel malveillant à être signé numériquement et certifié par Apple, lui permettant de contourner Gatekeeper. Bien qu’un certificat spécifique ait été révoqué, cela met en évidence la fragilité potentielle du système face à des certificats compromis ou abusés. Aucun CVE spécifique n’est mentionné dans l’article, mais la menace réside dans l’exploitation des mécanismes de confiance d’Apple.

Recommandations :

• Vigilance accrue lors des téléchargements : Télécharger des logiciels uniquement depuis des sources officielles et de confiance.
• Mises à jour du système : Maintenir macOS à jour pour bénéficier des dernières protections de sécurité.
• Prudence avec les fichiers téléchargés : Examiner attentivement les applications et les fichiers avant de les exécuter, même s’ils semblent légitimes.
• Utilisation d’une solution de sécurité : Un logiciel antivirus et anti-malware à jour peut aider à détecter et bloquer les menaces connues.
• Contrôle des certificats : Bien que cela soit complexe pour l’utilisateur final, la révocation du certificat par Apple est une mesure corrective. Les utilisateurs doivent faire confiance aux mécanismes de sécurité qui vérifient la validité des certificats.

Source