Le malware FrigidStealer infecte les utilisateurs de macOS via de fausses mises à jour du navigateur Safari

Le malware FrigidStealer cible les utilisateurs de macOS via de fausses mises à jour de navigateur, en volant des mots de passe, des portefeuilles cryptographiques et des notes à l'aide de méthodes de vol de données basées sur DNS.

FrigidStealer, une souche connue de malware macOS, cible les utilisateurs Apple via de fausses invites de mise à jour de navigateur. Repérée pour la première fois en février 2025 et signalée par Hackread.com, cette variante fait partie de la famille de malwares Ferret et a déjà touché des utilisateurs en Amérique du Nord, en Europe et en Asie.

La souche du malware a été associée aux virus TA2726 et TA2727, tous deux connus pour utiliser de fausses mises à jour de navigateur comme vecteur d'attaque. Elle a également été associée à une recrudescence des infections dans les secteurs d'activité en contact avec le public, notamment le commerce de détail et l'hôtellerie.

Le logiciel malveillant incite les utilisateurs à télécharger un fichier image disque (DMG) déguisé en mise à jour de Safari . Une fois le fichier installé, il contourne les protections Gatekeeper d'Apple en invitant l'utilisateur à saisir son mot de passe, exploitant ainsi la fonctionnalité AppleScript intégrée. Le logiciel malveillant installe ensuite une application malveillante portant l'identifiant com.wails.ddaolimaki-daunito , ce qui lui permet de se fondre parmi les applications légitimes.

Une fois actif, FrigidStealer commence à collecter des données sensibles, notamment les identifiants de navigateur, les fichiers système, les informations de portefeuille de cryptomonnaies et même les notes Apple. Ces données sont ensuite exfiltrées vers un serveur de commande et de contrôle via des requêtes DNS acheminées via mDNSResponder de macOS. Après avoir volé et envoyé les données, le malware interrompt son propre processus afin de réduire les risques de détection.

Selon Wazuh, une entreprise de cybersécurité open source qui a identifié FrigidStealer et partagé son rapport technique avec Hackread.com, ce malware ne s'appuie pas sur des kits d'exploitation ou des vulnérabilités traditionnels. Il exploite plutôt la confiance des utilisateurs dans les notifications système et les invites de mise à jour des navigateurs. Cette approche le rend plus dangereux, car elle requiert moins de sophistication technique de la part de l'attaquant tout en restant très efficace.

Ce qui distingue FrigidStealer, c'est son utilisation de comportements spécifiques à macOS pour rester persistant. Il s'enregistre comme application de premier plan via launchservicesd , interagit avec le système via des communications Apple Events non autorisées et supprime toute trace de son exécution. Les journaux du système de journalisation unifiée (ULS) d'Apple montrent que le malware utilise des noms de processus et des services légitimes pour rester invisible.

Si vous utilisez macOS, sachez que les attaquants sont de plus en plus habiles à tromper les utilisateurs. Ils combinent arnaques astucieuses et connaissance du fonctionnement du système pour contourner les sécurités standard. Même avec une protection en place, la première étape de l'attaque consiste souvent à cliquer sur un lien ou à se fier à une fausse invite de mise à jour .

Il est donc conseillé aux utilisateurs d'éviter d'installer des mises à jour logicielles à partir d'invites inattendues ou de sites tiers. Les mises à jour doivent toujours provenir directement de sources officielles telles que le Mac App Store ou l'outil de mise à jour logicielle du système.