
Introduction
Deux évènements marquants de la veille sécurité Apple rythment ce bulletin du 16 juillet 2026. D’un côté, les chercheurs de Jamf Threat Labs ont publié le 13 juillet 2026 une analyse détaillée d’un voleur d’informations (« infostealer ») inédit pour macOS, baptisé CrashStealer, qui usurpe l’apparence de l’outil de rapport d’erreurs d’Apple pour dérober trousseaux, mots de passe et portefeuilles de cryptomonnaies.
De l’autre, l’expert reconnu Howard Oakley, sur The Eclectic Light Company, a documenté le 15 juillet 2026 la sortie de la mise à jour XProtect 5351, la première depuis le 2 juin — un intervalle inhabituellement long qui prend fin avec l’ajout de six nouvelles règles Yara, dont plusieurs visent la famille de « stealers » Boatload.
Ces deux annonces se lisent conjointement : XProtect, la protection anti-malware intégrée à macOS, se remet en marche au moment même où une nouvelle famille de voleurs d’identifiants passe en phase active. Le message pour l’utilisateur est simple : vérifier que sa protection est à jour, et adopter des réflexes de vigilance renforcés face aux images-disque (DMG) reçues par des canaux inhabituels.
Éléments impactés
- Systèmes concernés par CrashStealer : macOS (tous systèmes actuellement supportés, la mécanique de persistance et de vol s’appuyant sur des API standard macOS).
- Composant de protection concerné par la mise à jour : XProtect, la brique anti-malware intégrée à macOS (fichier de signatures Yara).
- Version corrective XProtect publiée : 5351 (précédente : 5347, datée du 2 juin 2026).
- Date de publication observée par l’analyste : 2026-07-15.
- Livraison : automatique via Mise à jour de Logiciels et via iCloud sur macOS Sequoia, macOS Tahoe et macOS Golden Gate.
Détails des évènements
Article 1 — Jamf Threat Labs : analyse technique de CrashStealer
Source : Jamf Threat Labs | Publication : 2026-07-13
Les chercheurs de Jamf ont d’abord détecté CrashStealer en mai 2026, à l’état de développement ; les premières détections « en conditions réelles » remontent à début juillet 2026, marquant son passage à un usage actif par des attaquants.
Chaîne d’infection observée :
- L’attaque débute par une image-disque (DMG) nommée « Werkbit Setup », hébergée sur le domaine
werkbit[.]io. L’accès au téléchargement est protégé par un code de type « code de réunion », ce qui limite la diffusion aux victimes déjà ciblées. - Le DMG contient une application unique, Werkbit.app, dont l’exécutable interne se nomme veltod. Fait notable, le DMG lui-même est signé, en plus de l’application qu’il contient — pratique inhabituelle dans les campagnes malveillantes.
- La signature utilise l’identifiant développeur « Emil Grigorov (WWB7JA7AQV) » et embarque un ticket de notarisation valide. Cette combinaison permet de passer sans blocage la validation initiale de Gatekeeper, la protection macOS contre les logiciels non fiables. Jamf indique avoir signalé ce Team ID à Apple.
- Une fois lancé,
veltodcontacte un dépôt GitHub, télécharge un script qui à son tour récupère l’archiveCrashReporter.dmg. Cette dernière contient la charge finale, copiée dans un dossier caché, dont le nom, l’icône et l’identifiant de bundle imitent le composant AppleCrashReporter. - Le programme affiche alors une fausse fenêtre de mot de passe qui reproduit l’apparence d’une invite système. Il valide localement l’authentification via la commande macOS
dsclavant de poursuivre. - Une fois le mot de passe obtenu, CrashStealer déverrouille le trousseau (Keychain) et exfiltre ses données, puis collecte les profils de navigateurs Chromium (Chrome, Edge, Brave…) et les identifiants Firefox, les données d’environ 80 extensions de portefeuilles de cryptomonnaies (MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Exodus…), les stockages de 14 gestionnaires de mots de passe (1Password, Bitwarden, LastPass, Dashlane, Keeper…) et une sélection de fichiers dans les dossiers Documents, Téléchargements.
- Les fichiers collectés sont chiffrés individuellement en AES-256-GCM, regroupés dans des archives ZIP masquées, puis exfiltrés vers un serveur de commande via la bibliothèque réseau
libcurl. - La persistance est assurée par une copie du binaire réappliquée avec une signature ad hoc, installée comme LaunchAgent sous le nom
com.apple.crashreporter.helper, ce qui déclenche le lancement à chaque ouverture de session utilisateur.
Signature technique distinctive : CrashStealer est écrit en C++ natif (autour d’une classe interne nommée MacOSData), alors que la plupart des stealers commodités de l’écosystème macOS reposent sur des scripts AppleScript ou des enveloppes Objective-C minces. Il embarque également des techniques anti-analyse : aplatissement du flot de contrôle, chiffrement des chaînes de caractères, et détection de débogueur en plusieurs points du démarrage.
Gravité : Jamf ne publie pas de score CVSS pour cette menace (Je ne sais pas.). La combinaison signature Developer ID valide + notarisation + ciblage de trousseau et portefeuilles cryptos en fait néanmoins une menace de premier plan pour tout utilisateur qui manipule des cryptomonnaies, des mots de passe sensibles ou des identifiants professionnels.
Recommandations :
- Ne jamais monter et exécuter un fichier
.dmgreçu par un canal inhabituel (invitation de « réunion » avec un code de téléchargement, lien inattendu, fichier partagé sans contexte). - Se méfier de toute invite de mot de passe apparaissant hors du contexte système habituel, en particulier si elle est demandée par un installeur récent.
- Vérifier périodiquement les LaunchAgents installés (dossier
~/Library/LaunchAgents/) et supprimer toute entrée suspecte, notammentcom.apple.crashreporter.helper— le vrai composant Apple ne porte pas ce nom. - Consulter le rapport Jamf pour la liste complète des indicateurs de compromission (IOC), hashes de fichiers, noms de domaines et artefacts laissés sur disque.
Article 2 — Eclectic Light Company : mise à jour XProtect 5351
Source : The Eclectic Light Company (Howard Oakley) | Publication : 2026-07-15
Après une pause de 43 jours depuis la version 5347 publiée le 2 juin 2026, Apple a publié le 15 juillet 2026 la mise à jour XProtect 5351. Comme à son habitude, Apple ne détaille pas publiquement les problèmes de sécurité couverts par cette mise à jour. L’analyse indépendante du fichier de règles Yara publiée par Howard Oakley révèle néanmoins :
- Six nouvelles règles Yara ajoutées pour les familles :
MACOS.ANGRYORB.OX,MACOS.BOATLOAD.STCRST,MACOS.BOATLOAD.PRIN,MACOS.BOATLOAD.PEME,MACOS.VSHELL.DITA,MACOS.VSHELL.DR. - Une modification des règles existantes pour
MACOS.MISOMAGIC.PA. - Un ajustement d’espacement pour
MACOS.SOMA.STTX. - Concernant le fichier
XPScripts.yr(règles pour scripts osascript, souvent utilisés par les attaques par ingénierie sociale) : 14 nouvelles règles, plus des amendements pourMACOS.OSASCRIPT.TIPA,MACOS.OSASCRIPT.SYPR,MACOS.OSASCRIPT.TADEetMACOS.OSASCRIPT.REOB.
Howard Oakley note que la famille Boatload, à en juger par la structure des règles Yara ajoutées, correspond très vraisemblablement à un voleur d’informations (« stealer »). Cette observation entre en résonance directe avec l’analyse Jamf publiée deux jours plus tôt sur CrashStealer, sans qu’un lien formel puisse être établi à ce stade (Je ne sais pas.).
Vérification et forçage de la mise à jour :
- Ouvrir Informations Système via À propos de ce Mac, puis rubrique Logiciels > Installations pour retrouver la trace de
XProtectPlistConfigData_10_15-5351. - Sur macOS Sequoia, Tahoe et Golden Gate, la commande Terminal
sudo xprotect check(puis mot de passe administrateur) affiche la version installée ;sudo xprotect updateforce le rafraîchissement si nécessaire. - L’utilitaire tiers SilentKnight (Howard Oakley) permet également de forcer l’installation via son étiquette dédiée
XProtectPlistConfigData_10_15-5351.
Gravité : Apple ne publie pas d’évaluation officielle de sévérité pour les mises à jour XProtect (Je ne sais pas.). L’ajout de règles Yara actives et l’intervalle inhabituellement long depuis la précédente mise à jour justifient toutefois une installation rapide.
Vulgarisation
XProtect est le module de protection anti-malware intégré à macOS. Il fonctionne comme un antivirus « silencieux » qui vérifie chaque application avant son premier lancement à la recherche de signatures de menaces connues. Ces signatures prennent la forme de « règles Yara », un langage standardisé pour décrire les caractéristiques d’un fichier malveillant. Apple met à jour ces règles en arrière-plan sans notification à l’utilisateur — d’où l’utilité d’outils comme SilentKnight ou de la commande sudo xprotect check pour vérifier ce qui est réellement en place.
Un infostealer est un logiciel malveillant conçu pour dérober des informations sensibles : mots de passe stockés dans le navigateur, contenu du trousseau macOS, clés privées de portefeuilles de cryptomonnaies, cookies de session. Contrairement à un rançongiciel qui bloque l’accès aux données, l’infostealer opère discrètement et exfiltre son butin vers un serveur contrôlé par les attaquants.
La particularité de CrashStealer est qu’il passe la validation Gatekeeper : il est signé avec un identifiant développeur Apple et bénéficie d’un ticket de notarisation valide. Cela signifie qu’Apple a délivré, dans un premier temps, une autorisation formelle à cet éditeur, sans savoir qu’il produirait un logiciel malveillant. Une fois la fraude découverte, Apple révoque généralement l’identifiant, ce qui empêche les nouvelles exécutions ; les copies déjà installées peuvent en revanche continuer à fonctionner jusqu’à ce que XProtect ajoute la règle Yara correspondante — d’où l’importance du lien entre les deux évènements de ce bulletin.
Comment se protéger
- Sur Mac : Réglages Système > Général > Mise à jour de Logiciels, puis vérifier que les mises à jour système et de sécurité automatiques sont activées.
- Vérifier la version de XProtect installée : ouvrir le Terminal et taper
sudo xprotect check(nécessite votre mot de passe administrateur). Elle doit être 5351 ou plus récente. - Ne pas monter d’image-disque
.dmgreçue d’un contact inconnu ou via un lien inattendu, y compris quand elle prétend venir d’un service légitime. - Réviser périodiquement les LaunchAgents installés dans
~/Library/LaunchAgents/et/Library/LaunchAgents/. - Pour un audit approfondi : utiliser un outil de vérification comme SilentKnight (Eclectic Light Company) ou KnockKnock (Objective-See Foundation), tous deux gratuits et développés par des chercheurs macOS reconnus.
Tableau des références
| Titre de la page | URL officielle | Date de publication |
|---|---|---|
| CrashStealer: A Native macOS Infostealer Impersonating Apple’s Crash Reporter | https://www.jamf.com/blog/crashstealer-macos-infostealer-analysis | 13/07/2026 |
| New macOS malware steals passwords by posing as Apple’s crash-reporting tool | https://www.helpnetsecurity.com/2026/07/14/crashstealer-macos-infostealer-password-theft/ | 14/07/2026 |
| Jamf Threat Labs releases analysis of macOS info stealer dubbed ‘CrashStealer’ | https://appleworld.today/2026/07/jamf-threat-labs-releases-analysis-of-macos-info-stealer-dubbed-crashstealer/ | 13/07/2026 |
| Apple has released an update to XProtect for all macOS | https://eclecticlight.co/2026/07/15/apple-has-released-an-update-to-xprotect-for-all-macos-36/ | 15/07/2026 |
Avis de non-responsabilité : Cette publication est générée automatiquement à des fins purement informatives. Bien que les données soient issues de veilles technologiques, elles ne sauraient se substituer aux publications officielles. Pour toute décision relative à la sécurité de vos systèmes, il convient de vérifier et de valider les informations fournies en consultant directement les bulletins officiels du NIST (National Institute of Standards and Technology) et d’Apple Security.









