Selon une estimation établie par Bit9 + Carbon Black, qui propose une solution anti-APT et anti-fuites d'informations de bout en bout, cette année, le nombre de malwares ayant ciblé le système OS X d’Apple est monté en flèche : il atteint 5 fois le nombre de logiciels malveillants décomptés sur la plateforme au cours des 5 années précédentes. Ainsi, entre 2010 à 2014, l’OS d’Apple a été la cible de 180 malwares. Mais en 2015, ce chiffre dépasse déjà les 948, ce qui fait dire au vendeur de solutions de sécurité que, en terme de malware, « l'année 2015 a été la plus prolifique de toute l'histoire de l’OS X d’Apple ». Pour établir son estimation, Bit9 + Carbon Black a pisté les malwares ciblant le système d'exploitation d’Apple pendant 10 semaines. L'équipe de recherche du vendeur a analysé les données qu’elle a elle-même collectées, y compris des données open source déversées dans le référentiel d’échange de malware Contagio, la remontée d’incidents impliquant OS X par les partenaires du vendeur, et du code suspect livré directement à Bit9 + Carbon Black par ses clients.

Au total, le vendeur a récolté 1 400 échantillons uniques de malware ciblant OS X. « Sur la base des informations collectées au cours de ces 10 semaines par notre équipe de recherche, nous pouvons raisonnablement penser qu’il y aura encore plus d’attaques de malware contre le système OS X d’Apple au cours des prochains mois », indique le rapport des chercheurs. Ces derniers ont utilisé une sandbox classique pour analyser le fonctionnement des logiciels malveillants, notamment voir s’ils créent des fichiers ou s’ils établissent des communications réseau. Ils ont pu repérer plusieurs artefacts laissés par les malwares et mettre en évidence leur infrastructure de commande et de contrôle. Ils ont aussi remarqué que, en général, les malwares essayaient de ne pas résider dans le noyau OS X, mais plutôt dans l'espace utilisateur, et qu’au lieu d'attaquer les mécanismes Unix sous-jacents, ils visaient des mécanismes spécifiques à Mac OS X. Les chercheurs pensaient que, compte tenu de la base Unix/Linux de Mac OS X, les attaquants adapteraient des malwares Linux et Unix à OS X, mais ce n’est pas ce qu’ils ont pu observer.

Les malwares OS X exploitent des mécanismes intégrés au système d'exploitation qui leur permettent de résider au sein de l’OS. Par exemple, ils tirent parti de mécanismes qui permettent aux applications légitimes de démarrer au moment du boot ou d’identification de l’utilisateur à l’ouverture. On retrouve certains de ces mécanismes sur Unix et BSD, mais les auteurs de malware OS X préfèrent se concentrer sur des mécanismes de persistance qui n’existent que sur le système d’Apple. « Les auteurs de malware connaissent bien les environnements Windows et l’on peut imaginer qu’ils ont travaillé sur la documentation d’OS X sans avoir de connaissance Unix », a déclaré Mike Sconzo, le spécialiste des menaces chez Bit9 + Carbon Black.