Une nouvelle variante du malware MacSync s’est lancée à l’assaut des Mac. En se cachant dans une application Swift signée, le virus est capable de contourner les mécanismes de protection d’Apple. Au terme de l’intrusion, les pirates peuvent voler mots de passe, trousseau iCloud, portefeuilles crypto et fichiers sensibles sur l’ordinateur.
Une nouvelle variante du malware MacSync a été découverte par les chercheurs de Jamf, l’éditeur spécialisé dans la gestion et la sécurité des appareils Apple. Conçu spécifiquement pour macOS, MacSync est un logiciel malveillant de type « infostealer ». Il se concentre sur le vol d’informations sur l’ordinateur infecté. Apparu en avril 2025, MacSync est l’oeuvre d’un cybercriminel qui se fait appeller Mentalpositive. Le virus s’est rapidement imposé comme une solution incontournable de l’arsenal des pirates qui veulent s’en prendre aux ordinateurs estampillés Apple.
Pour propager le malware, les cybercriminels l’ont caché dans le code d’une application Swift , c’est-à-dire un programme macOS écrit en Swift, le langage de programmation d’Apple. C’est la première fois que MacSync se propage de cette maniére. Le malware est diffusé par le biais d’une image disque macOS (.dmg), accessible au téléchargement sur un site frauduleux. Au moment de télécharger et d’installer le fichier, l’internaute est persuadé d’avoir trouvé un logiciel légitime.
A lire aussi : Pas de virus sur Mac ? Le « mythe du macOS sans malware s’effondre »
Un virus qui contourne Gatekeeper
Comme l’expliquent les chercheurs de Jamf, la nouvelle version de MacSync est capable de contourner et de berner Gatekeeper, le fameux mécanisme qui protège les utilisateurs contre les virus et les applications non sécurisées. Avant l’installation, il vérifie que l’app provient d’une source jugée fiable et d’un développeur dûment identifié par Apple.
Pour contourner le mécanisme, MacSync se fait reconnaître comme une application légitime, signée par Apple. L’application Swift utilisée par MacSync pour pénétrer sur le Mac est signée avec un certificat développeur Apple. La « signature est associée à l’identifiant de l’équipe de développement GNJLS3UYZ4 », explique le rapport de Jamf. Aux yeux de Gatekeeper, l’app ressemble donc à un logiciel tout à fait normal. Il n’y a donc pas de raison que Gatekeeper cherche à bloquer l’installation de l’application. Les pirates « tentent de plus en plus d’intégrer leurs logiciels malveillants à des exécutables signés et notariés, leur permettant ainsi de se faire passer pour des applications légitimes ».
Une fois sur le système, le virus va siphonner toutes les données qu’il peut, comme les identifiants du trousseau iCloud, les mots de passe stockés sur les navigateurs Web, les métadonnées système, les clés privées d’un wallet crypto, ou encore des fichiers (documents, images, exports…).
A lire aussi : «J’ai failli tout perdre » – une arnaque Apple exploite une faille critique du service d’assistance
Un certificat révoqué par Apple
Après le signalement de Jamf, Apple a révoqué ce certificat. La mesure empêche de nouvelles installations avec cette signature bien précise de passer les portes de Gatekeeper. En d’autres termes, la dernière version de MacSync n’est plus capable de pirater un Mac sans que les mécanismes de protection d’Apple se déclenchent. Néanmoins, les ordinateurs piratés par MacSync avant la révocation de la signature sont toujours compromis. Si aucune mesure de nettoyage n’est prise par les utilisateurs, le Mac est et restera infecté par le virus.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.