Un nouvel malware voleur d'informations, baptisé FrigidStealer, se déploie au travers de fausses mises à jour et cible macOS. Il a été découvert en même temps que deux autres groupes cybercriminels.

Les utilisateurs de macOS sont visés par un nouveau logiciel malveillant © DenPhotos / Shutterstock.com
Les utilisateurs de macOS sont visés par un nouveau logiciel malveillant © DenPhotos / Shutterstock.com

L'équipe de recherche Proofpoint a identifié un nouveau malware, désormais connu sous le nom de « FrigidStealer », qui semble avoir été spécifiquement conçu pour dérober des informations sur macOS. Les spécialistes en cybersécurité ont aussi identifié deux nouveaux acteurs malveillants, référencés TA2726 et TA2727. Ces derniers utilisent des composants de campagnes d'injection web pour diffuser différents types de malwares.

Un malware qui menace l'écosystème Apple

Alors comment FrigidStealer est-il diffusé ? Le malware se propage via des sites web compromis, en se faisant passer pour une mise à jour de navigateur. Le malware est distribué sous forme de fichier DMG (l'équivalent macOS des fichiers ISO Windows) qui, une fois monté, affiche une interface ressemblant à Safari ou Chrome, selon le navigateur utilisé par la victime. Il y a ici une approche personnalisée qui renforce la crédibilité de l'attaque.

La technique d'infection repose sur une manipulation habile de l'utilisateur. Le malware invite en effet à effectuer un clic droit puis à sélectionner « Ouvrir », ce qui contourne Gatekeeper, le système de sécurité de macOS. L'exécutable, écrit en Go (un langage de programmation) et signé de manière ad-hoc, utilise le projet open source WailsIO pour afficher du contenu dans le navigateur.

Au-delà de ces considérations techniques, une fois installé, FrigidStealer utilise des scripts Apple et osascript pour collecter les données sensibles. Il cible surtout les cookies des navigateurs, les fichiers contenant des mots de passe, les informations liées aux cryptomonnaies dans les dossiers Bureau et Documents, ainsi que les notes Apple. Ces données sont ensuite envoyées vers un serveur de contrôle.

Voici un leurre de fausse mise à jour distribuant FrigidStealer via Safari (à gauche) et Chrome (à droite) © Proofpoint
Voici un leurre de fausse mise à jour distribuant FrigidStealer via Safari (à gauche) et Chrome (à droite) © Proofpoint

Deux nouveaux groupes cybercriminels émergent

L'enquête de Proofpoint révèle que le groupe TA2726 agit comme un service de distribution de trafic (TDS) pour les collectifs TA569 et TA2727. Il est officiellement actif depuis septembre 2022 et joue un rôle central, en redirigeant le trafic selon la localisation géographique des victimes, c'est-à-dire l'Amérique du Nord et les autres régions.

TA2727, lui, a été identifié au tout début de l'année 2025. Il se distingue par une approche plutôt multiplateforme. Selon la géographie et le système d'exploitation de la victime, le groupe distribue FrigidStealer pour Mac, Lumma Stealer et DeerStealer pour Windows, ou encore Marcher pour Android, un ancien cheval de Troie bancaire, actif depuis 2013.

Voilà une découverte qui souligne une fois encore l'évolution incessantes du paysage des menaces web, où les acteurs malveillants adaptent leurs tactiques face au renforcement des défenses contre les malwares par e-mail. Les utilisateurs Mac, traditionnellement moins ciblés, doivent redoubler de vigilance face à ces nouvelles menaces sophistiquées.