En septembre dernier, 9to5Mac a partagé des détails exclusifs sur ModStealer avec Mosyle, un leader dans la gestion et la sécurité des appareils Apple, qui est revenu avec deux nouvelles menaces macOS volant complètement sous le radar.
Selon de nouveaux détails partagés avec 9to5Mac, l'équipe de recherche en sécurité de Mosyle a identifié deux échantillons auparavant non détectés : Phoenix Worm, un stager multiplateforme, et ShadeStager, un implant macOS modulaire conçu pour le vol d'identifiants. Bien qu'ils ne soient pas directement liés dans leur fonctionnement, ces deux menaces montrent à quel point les malwares macOS sont devenus sophistiqués.
Le timing ici coïncide avec ce que le reste de l'industrie a observé. Comme je l'ai rapporté précédemment, les infostealers et les chevaux de Troie comme Atomic Stealer ont été l'histoire dominante des malwares sur Mac au cours de l'année écoulée ; les attaquants s'éloignent des attaques bruyantes et se dirigent vers la persistance. Phoenix Worm et ShadeStager font exactement cela.
Phoenix Worm, un stager caché
Contrairement à son nom, Phoenix Worm est en fait un stager. Ce logiciel, un malware multiplateforme basé sur Golang, est construit pour fonctionner en tant que stager. Les stagers peuvent être définis comme des charges utiles légères visant essentiellement à assurer la persistance et à préparer une seconde vague d'attaques. Au lieu de laisser la charge complète dès le départ, il crée d'abord discrètement un pied dans la porte. Cela présente de nombreux avantages.
Selon Mosyle, les fonctionnalités de base de Phoenix Worm incluent :
- Communiquer avec un serveur de commande et de contrôle (C2) distant
- Créer des identifiants uniques pour les systèmes infectés
- Transmettre des données système aux attaquants
- Supporter les mises à jour distantes et l'exécution de charges utiles
Phoenix Worm, selon l'annonce de Mosyle à 9to5Mac, ne semble pas être une menace indépendante. Sa conception suggère fortement qu'il fait partie d'un ensemble d'outils plus large destiné à transmettre des charges plus avancées dans la chaîne d'attaque.
Au moment de l'analyse, il a été noté qu'aucun moteur antivirus n'avait détecté de variantes macOS ou Linux, avec seulement une détection limitée sur Windows.
ShadeStager, construit pour le vol d'identifiants
ShadeStager est un outil post-exploitation conçu pour extraire des données de grande valeur à partir de systèmes déjà compromis. Bien que cela semble être un excellent match avec Phoenix Worm, Mosyle indique que les deux ne sont pas liés.
En fait, ShadeStager semble se concentrer sur les environnements de développement et l'infrastructure cloud. Voici ce qu'il cible spécifiquement :
- Clés SSH et hôtes connus
- Identifiants cloud d'AWS, Azure et GCP
- Fichiers de configuration Kubernetes
- Données d'authentification Git et Docker
- Profils de navigateur complets dans les grands navigateurs
De plus, selon Mosyle, ShadeStager effectue une exploration approfondie des informations sur l'utilisateur et les privilèges sur l'hôte, les détails du système d'exploitation et du matériel, la configuration réseau et les variables d'environnement liées aux sessions cloud et SSH. Tout est configuré et exporté via HTTPS ; il prend en charge l'exécution de commandes, l'exportation de données et le téléchargement de fichiers.
Fait intéressant, ShadeStager ne contient pas d'adresse C2 codée en dur, et certaines parties du code du malware étaient visibles par les chercheurs de Mosyle sans qu'aucun travail de rétro-ingénierie supplémentaire ne soit nécessaire. Cela suggère fortement que l'échantillon de malware était encore en cours de développement au moment de sa découverte.
Résumé
Phoenix Worm et ShadeStager ne sont pas liés, mais reposent sur le même modèle d'attaque. L'un fournit un accès, tandis que l'autre extrait des identifiants et des jetons cloud, et aucun d'eux n'a été détecté par les moteurs antivirus au moment de la découverte.
En 2026, les malwares sur Mac évoluent dans cette direction. Les attaquants codent en Go et Rust pour la compatibilité multiplateforme, envoient des charges modulaires qui séparent l'accès initial de la post-exploitation, et configurent dynamiquement l'infrastructure C2, de sorte qu'aucun élément statique ne correspond à une signature. L'exemple le plus facile à citer est sans aucun doute Atomic Stealer, qui est devenu la famille de malwares la plus populaire et préoccupante. Cela et ses variantes fonctionnent de cette manière depuis un certain temps, et il semble que cette approche émerge également dans des exemples non pertinents.
Les antivirus basés sur des signatures ne suffisent plus. La détection comportementale et la visibilité en temps réel doivent être des exigences fondamentales pour les administrateurs et les équipes de sécurité qui défendent aujourd'hui les environnements macOS.
Signes de menace
Lorsque les administrateurs Mac souhaitent ajouter ces menaces à leurs outils de sécurité, Mosyle a partagé les hachages SHA256 suivants :
- ShadeStager : 7e8003bee92832b695feb7ae86967e13a859bdac4638fa76586b9202df3d0156
- Phoenix Worm : 54ef0c8d7e167053b711853057e3680d94a2130e922cf3c717adf7974888cad2
Suivez Arin Waichulis : LinkedIn, Threads, X
Abonnez-vous au podcast 9to5Mac Security Bite pour des examens approfondis et des interviews avec des chercheurs et experts en sécurité Apple :
- Apple Podcasts
- Spotify
- Pocket Casts
- RSS Feed
![Expérience Utilisateur : Il y a une caractéristique que je recherche dans cette batterie MagSafe [Vidéo]](/resimler/kullanici-deneyimi-bu-magsafe-bataryada-aradigim-bir-ozellik-var-video.jpg)
Commentaires
(7 Commentaires)