Close Menu

    Mac : deux nouveaux malwares passent sous les radars des antivirus

    Phoenix Worm et ShadeStager ciblent macOS et échappent aux antivirus classiques. Ces malwares exploitent les environnements cloud et de développement pour rester invisibles.
    Philippe AbiodounPar 04 Minutes
    Deux nouveaux virus sur les macbooks

    Deux nouveaux programmes malveillants ciblant macOS viennent d’être identifiés par la société Mosyle. Baptisés Phoenix Worm et ShadeStager, ils se distinguent par leur capacité à passer sous les radars des antivirus traditionnels au moment de leur découverte. Leur objectif n’est pas uniquement de voler des données de manière directe, mais surtout de s’installer discrètement dans des environnements sensibles, notamment ceux liés au cloud et au développement logiciel.

    Deux malwares conçus pour rester invisibles

    Le premier programme, Phoenix Worm, agit comme un outil d’infiltration. Il ne cherche pas immédiatement à exploiter les données de la machine. Son rôle est plutôt de s’installer silencieusement, d’établir une connexion avec un serveur distant et d’attendre des instructions.

    Développé en langage Go, il peut fonctionner sur plusieurs systèmes, ce qui le rend particulièrement flexible. Une fois actif, il attribue un identifiant unique à la machine infectée et peut recevoir des commandes pour télécharger d’autres composants malveillants. Au moment de son analyse, aucune détection classique n’était capable de l’identifier sur macOS.

    De son côté, ShadeStager intervient à un autre niveau. Il est conçu pour exploiter une machine déjà compromise. Son objectif est de récupérer des informations sensibles, notamment dans les environnements professionnels.

    Il cible des éléments critiques comme :

    • les clés SSH
    • les identifiants cloud (AWS, Azure, Google Cloud)
    • les configurations Kubernetes
    • les accès Git et Docker

    Avant d’exfiltrer les données, il analyse l’ensemble du système afin d’évaluer les droits et la configuration réseau. Les informations sont ensuite envoyées via une connexion HTTPS classique, ce qui rend leur détection plus complexe.

    VOIR AUSSI : Que faire en cas de virus sur mac ? Comment le supprimer ?

    Une détection difficile face à des attaques plus modernes

    L’un des aspects les plus préoccupants concerne la discrétion de ces malwares. ShadeStager, par exemple, ne contient pas directement d’adresse de serveur de contrôle dans son code. Celle-ci est injectée uniquement au moment de l’exécution, ce qui complique fortement l’analyse.

    Dans certains cas, les chercheurs de Mosyle ont même pu accéder à une partie du code sans avoir besoin de le décompiler, signe que le logiciel était encore en développement au moment de sa découverte.

    Cette approche modulaire rend les attaques plus difficiles à anticiper. Les antivirus classiques, qui reposent souvent sur des bases de signatures connues, se retrouvent en difficulté face à des menaces récentes et évolutives.

    Une évolution des menaces sur macOS

    Ces découvertes s’ajoutent à d’autres cas récents observés sur macOS, comme des logiciels malveillants exploitant des outils système légitimes pour voler des identifiants ou contourner les protections intégrées.

    La tendance est désormais à des attaques plus discrètes, capables de se fondre dans des environnements professionnels. Les environnements de développement et les infrastructures cloud sont particulièrement ciblés, car ils donnent accès à des ressources critiques.

    Dans ce contexte, les experts de Mosyle recommandent de privilégier des solutions de détection comportementale plutôt que des systèmes basés uniquement sur des signatures. L’idée est d’identifier les anomalies dans l’activité d’un système plutôt que de rechercher uniquement des fichiers connus.

    VOIR AUSSI : Logiciel malveillant Silver Sparrow : que faire si votre Mac est infecté ?

    Vers une sécurité plus active et moins statique

    L’arrivée de Phoenix Worm et ShadeStager confirme une évolution déjà visible dans le paysage des menaces informatiques. Les attaques ne reposent plus uniquement sur des logiciels visibles ou facilement identifiables, mais sur des mécanismes discrets, adaptables et souvent difficiles à analyser en temps réel.

    Pour les utilisateurs comme pour les entreprises, la protection ne peut plus se limiter à un antivirus classique. Elle doit intégrer une surveillance continue des comportements système, notamment dans les environnements sensibles liés au cloud ou au développement.

    Noter cet article

    IdealoGeek est un média indépendant. Soutiens-nous en nous ajoutant à tes favoris sur Google Actualités :

    Suis-nous sur Google ⭐➡️
    Partager
    Avatar photo

    Rédacteur passionné par l'innovation. "Le digital est la possibilité de faire plus avec moins." - Nicholas Negroponte

    Articles similaires
    Laisser une réponse