Voleurs d'informations Python macOS
Les spécialistes en cybersécurité tirent la sonnette d'alarme face à la propagation rapide des attaques de vol d'informations, qui touchent désormais l'écosystème macOS d'Apple au-delà de Microsoft Windows. Les cybercriminels s'appuient de plus en plus sur des langages multiplateformes comme Python et exploitent des services de confiance et des plateformes publicitaires pour diffuser des logiciels malveillants à grande échelle, élargissant considérablement la surface d'attaque.
Table des matières
L’ingénierie sociale alimente les campagnes de vol d’informations sur macOS
Depuis fin 2025, plusieurs campagnes ont ciblé les utilisateurs de macOS par le biais de techniques d'ingénierie sociale, notamment ClickFix. Ces opérations distribuent des installateurs d'images disque (DMG) malveillants qui déploient des familles de voleurs de données macOS bien connues, telles que Atomic macOS Stealer (AMOS), MacSync et DigitStealer. La diffusion repose souvent sur la persuasion des utilisateurs afin qu'ils lancent manuellement le processus d'infection.
Exploitation abusive des fonctionnalités natives de macOS et vol de données furtif
Une fois exécutées, ces menaces s'appuient fréquemment sur des techniques sans fichier, des utilitaires natifs de macOS et l'automatisation AppleScript pour échapper à la détection et optimiser la collecte de données. Les informations volées comprennent généralement les identifiants et données de session stockés dans le navigateur, les données sensibles du Trousseau iCloud et les secrets liés aux développeurs qui peuvent permettre des compromissions plus poussées.
La publicité malveillante comme vecteur d’accès initial
Nombre de ces attaques débutent par des publicités malveillantes, souvent diffusées via Google Ads. Les utilisateurs recherchant des logiciels légitimes, tels que les utilitaires DynamicLake ou des outils d'intelligence artificielle, sont redirigés vers des sites web frauduleux. Ces sites utilisent des leurres de type ClickFix qui incitent les victimes à copier-coller des commandes ou à suivre les instructions d'installation, ce qui entraîne l'installation accidentelle de logiciels malveillants.
Les voleurs de Python permettent une adaptation rapide
Les logiciels espions basés sur Python sont particulièrement prisés des attaquants en raison de leur flexibilité et de leur facilité de réutilisation sur différents systèmes d'exploitation. Ces menaces sont généralement diffusées par le biais de courriels d'hameçonnage et sont conçues pour collecter un large éventail de données sensibles, notamment :
Identifiants de connexion, cookies de session, jetons d'authentification, informations de carte de crédit et données de portefeuille de cryptomonnaie
Vol de PXA et abus d’applications de messagerie
Un exemple notable est PXA Stealer, attribué à des acteurs malveillants vietnamiens. Les campagnes documentées d'octobre et décembre 2025 s'appuyaient sur des courriels d'hameçonnage pour l'accès initial et exploitaient des clés d'exécution du registre ou des tâches planifiées pour assurer la persistance du système. Telegram était utilisé pour les communications de commande et de contrôle ainsi que pour l'exfiltration de données. Par ailleurs, des acteurs malveillants ont également utilisé des plateformes de messagerie populaires telles que WhatsApp pour diffuser des logiciels malveillants comme Eternidade Stealer, ciblant les comptes financiers et de cryptomonnaies ; une campagne révélée publiquement en novembre 2025.
Empoisonnement SEO et faux logiciels sur Windows
L'activité des voleurs d'informations ne se limite pas à macOS. Des campagnes parallèles ont utilisé de faux éditeurs PDF, tels que Crystal PDF, promus par le biais de publicités malveillantes et de techniques de référencement abusives. Ces attaques, ciblant Windows, déploient des voleurs d'identifiants capables d'extraire discrètement les cookies, les informations de session et les identifiants mis en cache de Mozilla Firefox et Google Chrome.
Mesures défensives contre les opérations de vol d’informations
Pour réduire l’exposition aux menaces de vol d’informations, les organisations sont encouragées à mettre en œuvre des défenses multicouches et des initiatives de sensibilisation des utilisateurs, notamment :
- Former les utilisateurs à reconnaître les chaînes de redirection malveillantes, les installateurs frauduleux et les messages de type ClickFix
- Surveillance des activités inhabituelles du terminal, des accès non autorisés au trousseau iCloud et des requêtes POST sortantes suspectes vers des domaines nouvellement enregistrés ou anormaux.
Impact commercial d’une compromission par voleur d’informations
Les infections réussies par des logiciels espions peuvent avoir des conséquences importantes. Les identifiants et données de session volés peuvent entraîner des fuites de données, des accès non autorisés aux systèmes internes, la compromission de la messagerie professionnelle, des intrusions dans la chaîne d'approvisionnement et des attaques ultérieures telles que le déploiement de rançongiciels. La détection proactive et la sensibilisation restent essentielles pour limiter ces risques.
