bilbytech.com

DigitStealer : un nouveau malware macOS ciblant les Mac récents pour voler les données

DigitStealer : un nouveau malware macOS ciblant les Mac récents pour voler les données

Apple
26 novembre 2025

Des chercheurs de Jamf Threat Labs ont identifié un nouveau malware baptisé DigitStealer qui vise les utilisateurs de macOS, en particulier les Mac récents. Sa distribution se fait via un fichier DMG déguisé en application legitime nommée « DynamicLake ».

Mode d’infection

La campagne débute par un site frauduleux qui héberge un fichier DMG. L’utilisateur est invité à glisser un element dans le Terminal. Cette action lance un script qui télécharge et exécute DigitStealer. Le procédé est conçu pour tromper l’utilisateur et contourner des protections classiques.

Des vérifications matérielles pour ne cibler que certains Mac

Contrairement à la plupart des malwares qui cherchent des machines non corrigées, DigitStealer recherche spécifiquement les Mac les plus récents. Le script exécute des commandes syste’me (sysctl) pour interroger le processeur et verifier la presence de fonctions ARM apparues avec les puces M2.

Quatre caracteristiques sont controlees :

  • BTI (protection des branches d’execution)
  • SSBS (securite contre les attaques speculation)
  • ECV (compteurs virtualises)
  • RPRES (preservation du mode d’arrondi)

Ces controles permettent au malware d’eviter les Mac plus anciens equipe’s de processeurs Intel, les modeles M1, ainsi que les machines virtuelles utilisees par les analystes. Le code examine aussi la region configuree sur le syste’me et refuse de s’executer dans certains pays, probablement pour limiter les risques juridiques pour ses auteurs.

Vol de donnees en plusieurs etapes

Pour eluder les antivirus, DigitStealer s’execute entie’rement en memoire vive et deploie quatre modules successifs, chacun telecharge et execute directement dans la RAM.

  • Module 1 : affiche une fausse fenetre systeme pour recuperer le mot de passe utilisateur, puis collecte des documents depuis le Bureau, les Dossiers de telechargement et l’application Notes.
  • Module 2 : cible les donnees des navigateurs (Chrome, Brave, Edge, Firefox), les portefeuilles de cryptomonnaies (Ledger, Electrum, Exodus), les mots de passe du trousseau macOS, les configurations VPN (OpenVPN et Tunnelblick) et les sessions Telegram. Ces informations sont exfiltrees vers le domaine goldenticketsshop.com, imitation d’un site legitime.
  • Module 3 : modifie l’application Ledger Live en remplaçant un fichier interne, telecharge en trois fragments puis fusionne’s pour eviter les detections basees sur l’analyse d’un fichier complet.
  • Module 4 : installe une backdoor persistante qui interroge un serveur de commande toutes les 10 secondes pour recevoir de nouvelles instructions. Cette backdoor recupere son adresse de connexion via un enregistrement DNS, permettant aux attaquants de modifier le comportement du malware sans changer le code sur la machine infectee.

Considérations et recommandations

La nature de l’infection – demande d’executer une commande dans le Terminal – constitue un signal d’alerte important. Les utilisateurs et administrateurs doivent rester vigilants face aux fichiers DMG telecharges depuis des sources non verifiees, verifier les signatures des applications et maintenir leurs systemes a jour. Les solutions de detection en memoire et l’analyse du comportement complementent les controles traditionnels sur les fichiers stockes.

Auteur
Henri
Rédacteur invité expert tech.

Articles liés