Malwares Mac 2026 : Atomic Stealer, Cthulhu — détecter

Simon, développeur freelance à Québec, cherchait une version gratuite de Logic Pro pour tester un projet client. Il tape « Logic Pro Mac download » dans Google. Premier résultat sponsorisé : un site qui ressemble à celui d’Apple, avec un bouton de téléchargement DMG.

Il télécharge. macOS lui dit « Ce fichier provient d’un développeur non identifié ». Simon connaît le truc : clic droit, Ouvrir, confirmer. Le DMG s’installe. Pas de Logic Pro à l’écran, mais bon, ça arrive parfois avec les cracks.

Trois jours plus tard, son portefeuille MetaMask est vidé. 4 200 $ en ETH disparus. Son compte Gmail se connecte depuis la Lituanie. Ses mots de passe Chrome sont tous utilisés pour des tentatives d’accès sur son compte bancaire.

Simon venait d’installer Atomic Stealer. Et il n’est pas seul.

Le mythe « Mac n’a pas de virus » est mort en 2024

Pendant vingt ans, Apple a cultivé cette image. Les publicités « Get a Mac » de 2006-2009 opposaient explicitement un PC malade à un Mac invincible. La communauté Mac y a cru. Beaucoup y croient encore.

Les chiffres racontent une autre histoire. Le rapport Malwarebytes 2024 indique une hausse de 340 % des infections macOS par rapport à 2023. SentinelOne a publié en février 2025 une analyse détaillant sept familles de stealers actives sur macOS, la plupart inexistantes avant 2023. BleepingComputer rapporte presque chaque semaine une nouvelle variante ou un nouveau vecteur de distribution.

Pourquoi maintenant? Trois raisons :

1. La part de marché Mac a grimpé. En 2025, macOS dépasse 17 % du parc desktop mondial selon Statcounter. Aux États-Unis et au Canada, on approche 25-30 % dans certains segments (créatifs, développeurs, cadres). Les criminels suivent l’argent.

2. Les Mac modernes cachent des portefeuilles crypto. Un MacBook de freelance crypto vaut souvent plus en contenu qu’en matériel. Les stealers ciblent Exodus, Electrum, MetaMask, Phantom, Ledger Live.

3. Malware-as-a-Service. Atomic Stealer se loue 1 000 $ par mois sur Telegram. N’importe qui peut lancer une campagne sans écrire une ligne de code.

Atomic Stealer (AMOS) — le roi actuel

Atomic Stealer, aussi appelé AMOS, est apparu en avril 2023. Selon Check Point Research, il est devenu le malware macOS le plus distribué en 2024-2025.

Ce qu’il fait, concrètement :

• Extrait les mots de passe du trousseau (Keychain) macOS en demandant votre mot de passe administrateur via une fausse fenêtre système
• Vole les cookies de session de Safari, Chrome, Firefox, Brave (accès aux comptes sans mot de passe)
• Aspire les fichiers des portefeuilles crypto : ~/Library/Application Support/Exodus, ~/Library/Application Support/Electrum, extensions MetaMask de Chrome
• Copie les documents contenant certains mots-clés (« seed », « wallet », « password », « backup »)
• Envoie le tout à un serveur C2 via HTTPS

L’opération prend 30 à 90 secondes. L’utilisateur ne voit qu’une fenêtre « Cette application ne peut pas être ouverte » — qui est fausse.

Les vecteurs 2025-2026 :

• Fausses applications via Google Ads. Simon en haut de l’article. Les attaquants achètent des publicités sur « Logic Pro », « Final Cut », « DaVinci Resolve », « Notion », « Slack ». Le site cloné est indistinguable de l’original. SentinelOne a documenté plus de 1 000 domaines typosquattés en 2024.
• Fausses mises à jour Zoom. Une pop-up dans le navigateur indique « Zoom needs to be updated », téléchargement d’un DMG contenant Atomic.
• Offres d’emploi sur LinkedIn. Un recruteur propose un entretien technique, envoie un « test code » en DMG. Variante vue surtout chez les devs.
• Cracks et keygens. Adobe, Microsoft Office, Parallels, jeux Steam. Tout crack Mac en 2025 est à considérer comme infecté jusqu’à preuve du contraire.

Cthulhu Stealer — le cousin slave

Documenté par Cado Security en août 2024. Cthulhu est un clone d’Atomic avec quelques variations, vendu 500 $/mois sur des forums russophones.

Particularité : il cible aussi les fichiers .plist du trousseau iCloud Keychain et les fichiers de configuration Steam (tokens de session qui permettent de vider un inventaire Steam sans mot de passe).

Il est distribué principalement via fausses applications populaires : CleanMyMac (fausse version), Grand Theft Auto 6 (qui n’existe pas sur Mac), Adobe Creative Cloud cracké.

Le nom vient du fait que certaines variantes placent un fichier cthulhu.png dans le dossier temporaire — signature blague des opérateurs.

Banshee Stealer — le plus sophistiqué

Banshee a été documenté par Elastic Security Labs en août 2024, puis son code source a fuité en novembre 2024 sur un forum russe. Depuis la fuite, des dizaines de variantes circulent.

Ce qui le distingue techniquement :

• Utilise des techniques anti-analyse (détection de VM, détection de débogueurs)
• Chiffre sa configuration avec XOR pour rendre l’analyse statique plus difficile
• Cible plus de 100 extensions de navigateur incluant gestionnaires de mots de passe (1Password, Bitwarden, LastPass) et portefeuilles crypto
• Exfiltre via HTTP POST vers des domaines C2 qui changent toutes les 48h

Kaspersky a publié en janvier 2025 une analyse montrant que Banshee contournait pendant plusieurs mois XProtect grâce à une chaîne de chiffrement empruntée à un outil Apple interne.

Vecteurs principaux : faux GitHub repositories (Banshee se cache dans des « projets open source » avec des milliers de faux stars), faux installeurs Telegram, et campagnes par courriel ciblant les comptables et avocats.

XLoader (macOS variant) — le patient

XLoader existe depuis 2020 mais sa variante macOS s’est intensifiée en 2024-2025. Contrairement aux stealers, XLoader est un infostealer persistant : il reste sur la machine des semaines ou des mois.

Il se déguise en document Office ou PDF (via icône), installe un LaunchAgent pour redémarrer à chaque boot, et envoie périodiquement les données du Mac vers son C2.

Check Point Research a documenté une campagne 2025 où XLoader était distribué via de faux courriels « Important : révisions contractuelles » ciblant des cabinets d’avocats canadiens, incluant au moins trois cabinets montréalais selon les signalements du Centre canadien pour la cybersécurité.

Comment un Mac québécois moyen se fait infecter en 2026

Cinq scénarios dominent :

1. Le clic sur Google Ads. Vous cherchez une app, premier résultat sponsorisé, site cloné, DMG infecté. Les marques les plus imitées en 2025 selon Malwarebytes : Arc Browser, Notion, Loom, OBS, Figma.

2. Le faux update Zoom/Teams/Chrome. Une pop-up dans le navigateur dit « votre version est obsolète ». Jamais votre navigateur ne vous demandera d’installer un DMG. Les vraies mises à jour se font dans l’app elle-même.

3. Le crack Adobe. Photoshop, Illustrator, Premiere — les cracks Mac 2025 contiennent presque tous un stealer. La « communauté » a été infiltrée massivement.

4. Le test d’embauche piégé. Recruteur fictif sur LinkedIn, envoie un « challenge technique ». Variante spécifique aux développeurs et designers.

5. Le DMG par AirDrop ou clé USB. Moins fréquent mais documenté — notamment dans des cafés, conférences, coworking.

Les symptômes d’une infection active

Un Mac infecté ne clignote pas. Il ne vous dit rien. C’est fait pour être silencieux.

Mais certains signaux existent :

• Ralentissement soudain sans raison (un scan antivirus légitime ne devrait pas durer des heures)
• Ventilateur qui tourne à fond alors que vous ne faites rien d’intensif
• Fenêtres de demande de mot de passe admin qui apparaissent sans que vous ayez lancé une action
• Onglets de navigateur qui s’ouvrent seuls
• Extensions Safari ou Chrome que vous n’avez pas installées (vérifiez dans Préférences > Extensions)
• Processus inconnus dans le Moniteur d’activité : cherchez des noms comme Spectre, InstallerHelper, System Update, com.apple.systemupdate (le vrai est softwareupdated)
• Courriels envoyés de votre compte que vous n’avez pas écrits
• Connexions bancaires depuis des IP que vous ne reconnaissez pas

Si un de ces signaux apparaît, agissez dans l’heure.

Comment scanner un Mac suspect — gratuitement

Étape 1 : Malwarebytes for Mac (gratuit).

Téléchargez depuis malwarebytes.com (attention au site officiel — pas via Google Ads). La version gratuite fait un scan complet à la demande. Lancez un « Threat Scan » complet. Délai moyen : 10-20 minutes.

Étape 2 : Objective-See tools.

Patrick Wardle, ancien analyste NSA, maintient une suite d’outils gratuits spécifiques macOS :

• KnockKnock : liste tous les éléments persistants (LaunchAgents, LaunchDaemons, extensions)
• BlockBlock : alerte en temps réel sur les tentatives d’installation persistante
• RansomWhere? : surveille le chiffrement massif de fichiers
• OverSight : alerte si caméra/micro sont activés à votre insu

Tous gratuits, maintenus par un chercheur reconnu. Site : objective-see.org.

Étape 3 : Vérification manuelle des LaunchAgents.

Les malwares macOS persistent via des fichiers .plist dans ces dossiers :

• ~/Library/LaunchAgents/
• /Library/LaunchAgents/
• /Library/LaunchDaemons/

Ouvrez Terminal et tapez ls -la ~/Library/LaunchAgents/. Tout fichier avec un nom étrange (chaîne aléatoire, imitation d’un nom Apple) mérite une enquête. Exemple vu récemment : com.apple.Systempreferencesagent.plist — faux, le vrai n’existe pas avec ce nom.

Étape 4 : Vérifiez les extensions de navigateur.

Safari : Préférences > Extensions. Chrome : chrome://extensions. Firefox : about:addons. Supprimez tout ce que vous ne reconnaissez pas. Les stealers installent parfois des extensions pour capturer les identifiants en temps réel.

Si votre Mac est infecté — procédure complète

Étape 1 : Déconnecter d’internet. Coupez le Wi-Fi, débranchez l’Ethernet.

Étape 2 : Depuis un autre appareil (téléphone, autre ordi), changez les mots de passe critiques dans cet ordre :

1. Compte Apple ID
2. Compte courriel principal (Gmail, iCloud, Outlook)
3. Banque, caisses Desjardins
4. Portefeuilles crypto — puis transférez les fonds vers un nouveau wallet
5. Gestionnaire de mots de passe (1Password, Bitwarden) — changez aussi le mot de passe maître
6. Réseaux sociaux

Étape 3 : Activez le 2FA partout si pas déjà fait. Privilégiez une app (Authy, Aegis) plutôt que SMS.

Étape 4 : Révoquez les sessions actives sur chaque service. Google : myaccount.google.com/security. Apple : appleid.apple.com. Facebook, LinkedIn, etc. — cherchez « sessions actives » ou « appareils connectés ».

Étape 5 : Réinstallez macOS propre.

Un Mac infecté par un stealer sophistiqué ne se « nettoie » pas vraiment. La seule certitude, c’est une réinstallation. Sauvegardez vos fichiers personnels (pas les applications, pas la bibliothèque) sur un disque externe, démarrez en mode Recovery (Cmd+R au boot pour Intel, bouton power maintenu pour Apple Silicon), effacez le disque, réinstallez macOS.

Délai : 2-3 heures selon la connexion.

Étape 6 : Surveillez pendant 90 jours.

Les données volées circulent sur des marchés du dark web. Des connexions frauduleuses peuvent survenir des semaines plus tard. Activez les alertes de connexion sur vos comptes, surveillez vos relevés bancaires, vérifiez haveibeenpwned.com régulièrement.

La prévention qui fonctionne vraiment

Aucune magie. Cinq règles simples :

1. Ne jamais installer de DMG non signé sans vérifier. Si macOS dit « développeur non identifié » et que ce n’est pas un outil open source que vous connaissez (comme Homebrew ou un outil Objective-See), fermez et cherchez ailleurs.

2. Jamais de crack. Économiser 600 $ sur Logic Pro coûte souvent 5 000 $ en crypto volé. Adobe propose 29,99 $/mois pour Photoshop seul. Final Cut est un paiement unique de 399 $.

3. Toujours vérifier l’URL. Avant de télécharger quoi que ce soit, regardez le domaine. apple.com oui. apple-downloads.xyz non. Les Google Ads piégées utilisent souvent des sous-domaines trompeurs.

4. Mises à jour via l’App Store ou l’app elle-même. Jamais via un pop-up navigateur.

5. Sauvegarde Time Machine. Une vraie sauvegarde hors-ligne (disque externe déconnecté après sauvegarde) sauve la vie. Minimum deux copies, dont une hors du Mac.

Le coût caché d’un Mac infecté au Québec

Un de nos clients à Sequr — comptable de Lévis — s’est fait infecter en janvier 2026 par Banshee via une fausse app « Adobe Reader ». Stealer actif 11 jours avant détection. Bilan :

• Accès aux comptes clients via Chrome (mots de passe sauvegardés) — nécessite notification à la Commission d’accès à l’information (Loi 25)
• Courriels professionnels compromis — phishing envoyé à toute la liste de contacts
• 3 400 $ facturés pour l’enquête forensique, la notification légale et la reconstruction
• 6 semaines à reconstruire la confiance client

La facture réelle d’un malware Mac en 2026 n’est pas le stealer. C’est la Loi 25, les notifications obligatoires, et la réputation.

Quand appeler un pro

Si vous avez cliqué sur un DMG suspect, si vous voyez un des symptômes, ou si vos comptes montrent des connexions étrangères, n’attendez pas. Chaque heure compte — les stealers exfiltrent en secondes, les criminels vendent en jours.

Sequr.ca propose un diagnostic Mac à distance. On regarde les LaunchAgents, les extensions, les processus, les connexions réseau sortantes. On vous dit exactement ce qui tourne et ce qu’il faut nettoyer.

Un Mac en 2026, c’est comme une Tesla en 2015 : un bijou qu’on pensait inviolable, jusqu’à ce qu’on voie le premier jailbreak. L’époque du « Mac n’a pas de virus » est finie. L’époque du Mac bien protégé commence — mais ça demande d’y penser.

Vous n’êtes pas parano. Vous êtes en 2026.