La société Mosyle a identifié deux programmes malveillants pour macOS, Phoenix Worm et ShadeStager. Tous deux ciblent en priorité les environnements de développement et les infrastructures cloud. Ils n'étaient détectés par aucun antivirus au moment de leur découverte
Mosyle, spécialiste de la sécurité des appareils Apple, a partagé fin avril les détails de deux malwares jusqu'alors inconnus pour macOS. C'est la même entreprise qui, en janvier dernier, nous apprenait l'existence de SimpleStealth, un malware dissimulé derrière un faux site imitant Grok. Phoenix Worm et ShadeStager ne sont pas liés entre eux, mais restent tranquillement sous les radars.
Comment fonctionnent Phoenix Worm et ShadeStager
Phoenix Worm est ce qu'on appelle un "stager". Il n'a pas été conçu pour voler des données, mais pour s'installer discrètement sur une machine afin d'attendre des instructions. Écrit en Go (et donc d'emblée compatible avec macOS, Linux et Windows), il se connecte à un serveur distant, attribue un identifiant unique à la machine infectée et commence à lui transmettre des données. Il peut aussi recevoir des instructions à distance et télécharger d'autres programmes malveillants. Aucune variante macOS ou Linux n'était détectée par les antivirus au moment de l'analyse.
De son côté, ShadeStager fonctionne autrement. Il s'active lorsqu'un accès a déjà été obtenu sur le système. Son objectif est de récupérer des données sensibles. Il s'attaque aux clés SSH, aux identifiants de services cloud comme AWS, Azure ou Google Cloud, aux fichiers de configuration Kubernetes, aux accès Git et Docker, ainsi qu'aux profils de navigateurs. Avant d'exfiltrer tout ça, il dresse un état des lieux complet de la machine en passant au crible les droits utilisateur, la configuration réseau, et les variables d'environnement. Le tout passe par une connexion HTTPS standard, ce qui rend le trafic difficile à repérer.
Autre point intéressant qui complexifie davantage le travail des analystes : ShadeStager ne contient pas d'adresse de serveur de contrôle fixe dans son code. Cette dernière lui est transmise au moment de l'exécution. Les experts de Mosyle ont aussi pu lire une partie du code sans avoir à le décompiler. Il semblerait donc qu'à sa découverte le malware était encore en cours de développement.
Il y a deux semaines, nous rapportions déjà comment Atomic Stealer détournait Script Editor sur Mac pour dérober mots de passe et données bancaires. La tendance se confirme : les attaquants misent sur des outils modulaires, furtifs, écrits dans des langages multiplateformes. Les antivirus classiques - qui comparent les fichiers à une base de menaces connues - ne suffisent plus face à des programmes aussi récents. Mosyle recommande donc de s'appuyer sur de la détection comportementale et sur une surveillance en temps réel.
- moodPas d'essai gratuit
- devices1 à 5 appareils
- phishingPas d'anti-phishing
- local_atmPas d'anti-ransomware
- groupsPas de contrôle parental
