Home Technologie et scienceLes pirates informatiques abusent d’AppleScript pour diffuser des logiciels malveillants macOS se faisant passer pour des mises à jour Zoom et Teams

Les pirates informatiques abusent d’AppleScript pour diffuser des logiciels malveillants macOS se faisant passer pour des mises à jour Zoom et Teams

by Thomas Caron

Publié le 12 novembre 2025 16h14. Les experts en sécurité informatique observent une recrudescence de campagnes malveillantes ciblant les utilisateurs de macOS, exploitant des fichiers AppleScript pour diffuser des logiciels voleurs d’informations et de faux installateurs déguisés en documents courants ou en mises à jour légitimes de logiciels populaires.

  • Une technique autrefois réservée aux attaques ciblées (APT) est désormais utilisée par des familles de logiciels malveillants plus répandues.
  • Les cybercriminels contournent les protections de macOS en utilisant des fichiers AppleScript pour inciter les utilisateurs à exécuter du code malveillant.
  • La détection par les antivirus traditionnels reste limitée, soulignant la nécessité d’une vigilance accrue et de mesures de défense spécifiques.

Les chercheurs en sécurité signalent une augmentation significative des attaques ciblant les systèmes d’exploitation macOS, en particulier via l’utilisation de fichiers AppleScript (.scpt). Ces fichiers sont détournés pour distribuer des logiciels malveillants, notamment des voleurs d’informations (stealers) et de faux installateurs, souvent déguisés en documents bureautiques légitimes ou en mises à jour de logiciels courants tels que Zoom et Microsoft Teams.

Cette méthode, initialement associée à des opérations d’attaques persistantes ciblées (APT), est désormais exploitée par des familles de logiciels malveillants plus courantes, comme MacSync et Odyssey Stealer. Cette démocratisation de la technique est particulièrement préoccupante pour la communauté des utilisateurs de macOS.

La situation a évolué suite à la suppression par Apple, en août 2024, d’une faille de sécurité dans Gatekeeper, qui permettait d’ouvrir des applications en faisant un clic droit. Les attaquants ont donc dû trouver de nouvelles méthodes pour inciter les utilisateurs à exécuter du code malveillant. Les anciennes méthodes, basées sur de faux installateurs Homebrew ou des images disque (DMG) nécessitant de glisser des éléments dans le terminal, sont progressivement remplacées par l’utilisation de fichiers AppleScript, qui exploitent l’ingénierie sociale pour contourner les protections intégrées du système.

Fichiers .scpt malveillants déguisés en documents et programmes d’installation

Par défaut, macOS ouvre les fichiers .scpt dans l’application Script Editor. Les attaquants profitent de ce comportement en intégrant du code malveillant dans ces fichiers, dissimulé derrière de longs espaces vides et des commentaires d’apparence innocente. L’objectif est de repousser le code malveillant dans le fichier, le rendant moins visible lors d’une inspection rapide.

Une fois ouverts, les fichiers .scpt incitent les victimes à cliquer sur le bouton “Exécuter” ou à appuyer sur la combinaison de touches Commande + R, ce qui lance involontairement des commandes permettant de télécharger et d’exécuter des charges utiles malveillantes depuis des serveurs distants. Ces commandes utilisent souvent des fonctions telles que « do shell script » ou « curl ».

Exemple de fausse mise à jour de Chrome
Exemple de fausse mise à jour de Chrome

Des exemples récents incluent de faux documents tels que Apeiron_Token_Transfer_Proposal.docx.scpt et Stable1_Investment_Proposal.pptx.scpt, ainsi que des scripts de mise à jour frauduleux comme Zoom_SDK_Update.scpt, MSTeamsUpdate.scpt et InstallSoftZone.scpt. Ces fichiers sont souvent dotés d’icônes personnalisées, intégrées dans leur structure, afin de les faire ressembler à des fichiers Office ou à des programmes d’installation légitimes lorsqu’ils sont décompressés ou montés à partir d’une image disque.

L’ analyse de ces échantillons révèle des comportements typiques, tels que le téléchargement de charges utiles secondaires, l’exécution de commandes shell cachées ou la suppression d’images disque malveillantes supplémentaires, comme 888.scpt. Certaines versions utilisent des techniques d’obscurcissement en divisant les chaînes de code en plusieurs variables AppleScript avant de les réassembler, une méthode similaire à celle observée sur les systèmes Windows avec PowerShell.

Détection et défense

La détection de ces logiciels malveillants par les antivirus traditionnels reste aléatoire, de nombreux échantillons passant inaperçus sur VirusTotal. Les experts en sécurité recommandent donc de surveiller attentivement les exécutions lancées par l’application Script Editor et de signaler toute activité réseau ou tout événement de processus suspect déclenché par des fichiers AppleScript.

Les journaux d’événements de fichiers contenant des extensions telles que .docx, .scpt ou .pptx doivent être considérés comme suspects. Il est également conseillé de modifier le gestionnaire par défaut des fichiers .scpt et .applescript en utilisant un éditeur de texte non exécutable, comme TextEdit, afin d’empêcher une exécution accidentelle.

Discuté davantage dans une section ultérieure
Discuté davantage dans une section ultérieure

Des règles de détection personnalisées pour les points de terminaison peuvent également être mises en place pour cibler les codes d’événement AppleScript compilés (« sysoexec » pour « do shell script ») ou pour surveiller les anomalies de lancement liées au terminal sur les systèmes macOS. Alors que les acteurs malveillants continuent d’adapter leurs techniques, notamment en s’inspirant des méthodes utilisées par les groupes d’APT , l’augmentation des infections basées sur AppleScript témoigne d’une convergence croissante entre les abus de scripts et l’ingénierie sociale sur les systèmes Apple.

Vous avez trouvé cet article intéressant ! Suivez-nous sur Google Actualités, LinkedIn et X pour plus d’actualités en temps réel.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.