Infinity Stealer émerge comme nouveau vecteur de menace macOS
Des chercheurs en sécurité ont découvert une campagne de logiciels malveillants sophistiquée visant à voler des informations sur les systèmes macOS le 28 mars 2026. Le logiciel malveillant, baptisé Infinity Stealer, représente une évolution significative des menaces multiplateformes en utilisant du code Python compilé via le framework open-source Nuitka pour créer des fichiers exécutables natifs qui contournent les mécanismes de détection traditionnels.
La campagne d'attaque démontre une sophistication technique avancée en emballant des capacités de vol basées sur Python dans des exécutables autonomes qui ne nécessitent pas l'installation de l'environnement d'exécution Python sur les systèmes cibles. Cette approche permet aux attaquants de distribuer des logiciels malveillants qui apparaissent comme des applications macOS légitimes tout en maintenant la flexibilité et la furtivité du code Python interprété en dessous.
La stratégie de déploiement d'Infinity Stealer se concentre sur des tactiques d'ingénierie sociale, les attaquants distribuant le logiciel malveillant via des sites Web compromis, de fausses mises à jour logicielles et des pièces jointes d'e-mails malveillants. Le logiciel malveillant se fait passer pour des applications de productivité légitimes, des utilitaires système ou des packages logiciels populaires pour tromper les utilisateurs et les inciter à exécuter volontairement la charge utile.
L'architecture du logiciel malveillant comprend plusieurs modules conçus pour extraire des informations sensibles des systèmes infectés. Les cibles principales incluent les identifiants stockés dans les navigateurs Safari, Chrome, Firefox et Edge, les fichiers de portefeuilles de cryptomonnaie d'applications populaires comme Electrum et Exodus, et les données de configuration système qui pourraient faciliter d'autres attaques. Les données volées sont exfiltrées via des canaux chiffrés vers des serveurs de commande et de contrôle opérés par les acteurs de la menace.
L'analyse des échantillons de logiciels malveillants révèle des techniques d'évasion sophistiquées conçues spécifiquement pour les environnements macOS. Le logiciel malveillant vérifie les indicateurs de virtualisation, la présence de logiciels de sécurité et les outils d'analyse couramment utilisés par les chercheurs. Si détecté, le logiciel malveillant termine son exécution ou entre dans un état dormant pour éviter la détection tout en maintenant la persistance sur le système infecté.
Les utilisateurs macOS font face à un risque d'exposition large
Toutes les versions de macOS, de macOS 10.15 Catalina aux dernières versions de macOS 14 Sonoma, sont potentiellement vulnérables aux infections par Infinity Stealer. Le logiciel malveillant n'exploite pas de vulnérabilités système spécifiques mais repose sur l'interaction de l'utilisateur pour obtenir un accès initial, rendant tout système macOS susceptible, quel que soit le niveau de correctif ou la configuration de sécurité.
Les employés des services financiers, les traders de cryptomonnaie et les travailleurs à distance représentent des cibles de grande valeur pour cette campagne en raison de leur accès à des identifiants précieux et à des comptes financiers. La récente augmentation des attaques de voleurs contre les entreprises financières démontre le paysage de menace croissant auquel font face les organisations possédant des actifs numériques précieux.
Les environnements d'entreprise font face à un risque particulier en raison de la capacité du logiciel malveillant à voler des identifiants d'entreprise, des configurations VPN et des clés SSH stockées dans les profils utilisateurs. Les organisations utilisant des solutions d'authentification unique ou des gestionnaires de mots de passe peuvent subir une compromission plus large si les systèmes des employés sont infectés, car le logiciel malveillant cible les jetons d'authentification stockés et les cookies de session.
Les utilisateurs à domicile ne sont pas à l'abri de cette menace, en particulier ceux qui stockent des portefeuilles de cryptomonnaie, des identifiants bancaires ou des documents personnels sur leurs systèmes macOS. L'approche de ciblage large du logiciel malveillant signifie que tout utilisateur qui télécharge et exécute un logiciel suspect pourrait devenir victime de vol d'identifiants et de fraude financière.
Stratégies de détection et d'atténuation pour Infinity Stealer
Les organisations et les utilisateurs individuels peuvent mettre en œuvre plusieurs mesures défensives pour se protéger contre les infections par Infinity Stealer. Tout d'abord, activez Gatekeeper de macOS et assurez-vous que tous les téléchargements de logiciels proviennent de l'App Store officiel ou de sources de développeurs vérifiées. Configurez les Préférences Système pour bloquer les applications provenant de développeurs non identifiés et exigez une approbation explicite de l'utilisateur pour toutes les nouvelles installations logicielles.
Les protections au niveau du réseau devraient inclure la surveillance des connexions sortantes suspectes vers des domaines inconnus, en particulier le trafic chiffré vers des domaines de premier niveau nouvellement enregistrés ou suspects. Les équipes de sécurité peuvent se référer au catalogue des vulnérabilités exploitées connues de la CISA pour des renseignements supplémentaires sur les menaces et mettre en œuvre des règles de détection des points de terminaison qui signalent les exécutables compilés en Python tentant d'accéder aux magasins d'identifiants de navigateur ou aux répertoires de portefeuilles de cryptomonnaie.
Pour une chasse aux menaces immédiate, les administrateurs devraient rechercher les processus engendrés par des applications récemment téléchargées, en particulier celles présentant des modèles d'accès au système de fichiers inhabituels. Recherchez les applications tentant de lire les fichiers Login.keychain de Safari, les fichiers Login Data de Chrome ou les répertoires de portefeuilles de cryptomonnaie sans justification commerciale légitime.
La récupération des infections confirmées nécessite une rotation complète des identifiants sur tous les comptes potentiellement compromis. Les utilisateurs devraient changer les mots de passe pour les comptes bancaires, de cryptomonnaie, de messagerie et d'entreprise accessibles depuis le système infecté. De plus, révoquez et régénérez les clés API, les clés SSH et les jetons d'authentification qui pourraient avoir été stockés sur l'appareil compromis. Considérez l'ensemble du système comme compromis et effectuez une réinstallation complète de macOS si des données d'entreprise ou financières sensibles étaient accessibles pendant la période d'infection.
