Les pirates infiltrent les appareils Apple avec des logiciels sournois, s'attaquant à ceux qui recherchent des clés de codage cryptiques

Bybit a divulgué les détails d'une campagne de malware macOS en plusieurs étapes ciblant les utilisateurs recherchant « Claude Code », un outil de développement basé sur l'IA d'Anthropic, selon les résultats publiés par son centre d'opérations de sécurité (SOC) et partagés avec Finbold le 21 avril. La société a déclaré que la campagne représente l'un des premiers cas publiquement documentés dans lesquels un échange cryptographique centralisé (CEX) a identifié et analysé une menace active exploitant les canaux de découverte d'outils d'IA pour cibler les développeurs. Selon Bybit, la campagne a été identifiée pour la première fois en mars 2026 et s'appuyait sur l'empoisonnement de l'optimisation des moteurs de recherche (SEO) pour élever un domaine malveillant en tête des résultats de recherche Google. Les utilisateurs recherchant « Claude Code » ont été redirigés vers une page d'installation usurpée conçue pour ressembler étroitement à une documentation légitime. L’analyse de Bybit a révélé que l’attaque déployait une chaîne de logiciels malveillants en deux étapes. La charge utile initiale, livrée via un compte-gouttes Mach-O, installait un infostealer basé sur osascript présentant des caractéristiques similaires aux variantes connues d'AMOS et Banshee. L'infostealer a exécuté un processus d'obscurcissement en plusieurs phases pour extraire des données sensibles, notamment les informations d'identification du navigateur, les entrées du trousseau macOS, les sessions Telegram, les profils VPN et les informations du portefeuille de crypto-monnaie. Les chercheurs de Bybit ont identifié des tentatives d'accès ciblées contre plus de 250 extensions de portefeuille basées sur un navigateur, ainsi que plusieurs applications de portefeuille de bureau. Une charge utile de deuxième étape a introduit une porte dérobée basée sur C++ dotée de techniques d'évasion avancées telles que la détection de bac à sable et la configuration d'exécution cryptée. Le malware a établi la persistance grâce à des agents au niveau du système et a permis l'exécution de commandes à distance via une interrogation basée sur HTTP, permettant aux attaquants de maintenir un contrôle continu sur les appareils compromis. L’enquête a également révélé des tactiques d’ingénierie sociale, notamment de fausses invites de mot de passe macOS utilisées pour valider et mettre en cache les informations d’identification des utilisateurs. Dans certains cas, les attaquants ont tenté de remplacer des applications de portefeuille légitimes telles que Ledger Live et Trezor Suite par des versions trojanisées hébergées sur une infrastructure malveillante. Bybit a déclaré que son SOC exploitait les flux de travail assistés par l'IA tout au long du cycle de vie complet de l'analyse des logiciels malveillants, réduisant considérablement les temps de réponse tout en maintenant la profondeur analytique. Le tri et la classification initiaux de l'échantillon Mach-O ont été effectués en quelques minutes, les modèles d'IA signalant les similitudes comportementales avec les familles de logiciels malveillants connues. Selon l'entreprise, l'ingénierie inverse et l'analyse des flux de contrôle assistées par l'IA ont réduit l'inspection approfondie de la porte dérobée du deuxième étage d'une durée estimée de six à huit heures à moins de 40 minutes. Les pipelines d'extraction automatisés ont identifié des indicateurs de compromission, notamment l'infrastructure de commande et de contrôle, les signatures de fichiers et les modèles de comportement, qui ont été mappés aux cadres de menaces établis. Ces capacités ont permis le déploiement le jour même de mesures de détection. La génération de règles assistée par l'IA a pris en charge la création de signatures de menaces et de règles de détection des points finaux, qui ont été validées par les analystes avant d'être transmises aux environnements de production. Bybit a déclaré que les projets de rapports générés par l'IA réduisaient les délais d'exécution, permettant ainsi de finaliser les résultats des renseignements sur les menaces environ 70 % plus rapidement que les flux de travail traditionnels. "En tant que l'un des premiers échanges cryptographiques à documenter publiquement ce type de campagne de malware, nous pensons que le partage de ces résultats est essentiel pour renforcer la défense collective dans l'ensemble du secteur", a déclaré David Zong, responsable du contrôle des risques et de la sécurité du groupe chez Bybit. "Notre SOC assisté par l'IA nous permet de passer de la détection à la visibilité complète de la chaîne de destruction au sein d'une seule fenêtre opérationnelle. Ce qui nécessitait auparavant une équipe d'analystes travaillant sur plusieurs équipes - décompilation, extraction du CIO, rédaction de rapports, rédaction de règles - a été réalisé en une seule session, l'IA se chargeant du gros du travail et nos analystes fournissant le jugement et la validation. À l'avenir, nous serons confrontés à une guerre de l'IA. Utiliser l'IA pour se défendre contre l'IA est une tendance inévitable. Bybit augmentera encore son investissement dans l'IA pour la sécurité, atteignant un niveau infime détection des menaces et réponse d’urgence automatisée et intelligente. Le malware ciblait un large éventail d'environnements, notamment les navigateurs basés sur Chromium, les variantes de Firefox, les données Safari, Apple Notes et les répertoires de fichiers locaux couramment utilisés pour stocker des informations financières ou d'authentification sensibles. Bybit a déclaré avoir identifié plusieurs domaines et points de terminaison de commande et de contrôle associés à la campagne, qui ont tous depuis été rendus publics. L'analyse a indiqué que les attaquants s'appuyaient sur des interrogations HTTP intermittentes plutôt que sur des connexions persistantes, ce qui rendait la détection plus difficile. Selon Bybit, l'infrastructure malveillante associée à la campagne a été identifiée le 12 mars. Des mesures complètes d'analyse, d'atténuation et de détection interne ont été achevées dans la même journée. La divulgation publique a suivi le 20 mars, accompagnée d'une interface graphique détaillée de détection et de correction.