La campagne de fausse mise à jour du navigateur « ClearFake » s’est étendue à macOS, ciblant les ordinateurs Apple infectés par le malware Atomic Stealer (AMOS).
La campagne ClearFake a débuté en juillet de cette année pour cibler les utilisateurs de Windows avec de fausses invites de mise à jour de Chrome qui apparaissent sur les sites violés via des injections JavaScript.
En octobre 2023, Guardio Labs a découvert un développement important de l’opération malveillante, qui exploitait les contrats Binance Smart Chain pour masquer ses scripts malveillants prenant en charge la chaîne d’infection dans la blockchain.
Grâce à cette technique, baptisée « EtherHiding », les opérateurs ont distribué des charges utiles ciblant Windows, notamment des logiciels malveillants voleurs d’informations comme RedLine, Amadey et Lumma.
Extension à macOS
Le 17 novembre 2023, l’analyste des menaces Ankit Anubhav a signalé que ClearFake avait commencé à transmettre des charges utiles DMG aux utilisateurs de macOS visitant des sites Web compromis.
Un rapport Malwarebytes publié plus tôt cette semaine confirme cette évolution, signalant que ces attaques utilisent un appât de mise à jour Safari ainsi que la superposition Chrome standard.
La charge utile abandonnée dans ces cas est Atomic, un malware voleur d’informations vendu aux cybercriminels via les canaux Telegram pour 1 000 $/mois.
Atomic a été découvert en avril 2023 par Trellix et Cyble, qui ont signalé qu’il tentait de voler des mots de passe, des cookies et des cartes de crédit stockés dans les navigateurs, des fichiers locaux, des données de plus de 50 extensions de crypto-monnaie et des mots de passe de trousseau.
Le mot de passe du trousseau est le gestionnaire de mots de passe intégré de macOS qui contient les mots de passe WiFi, les connexions aux sites Web, les données de carte de crédit et d’autres informations cryptées, de sorte que sa compromission peut entraîner une violation importante pour la victime.
L’examen par Malwarebyte des chaînes de la charge utile révèle une série de commandes permettant d’extraire des données sensibles telles que des mots de passe et de cibler des fichiers de documents, des images, des fichiers de portefeuille cryptographique et des clés.
La campagne ClearFake ciblant désormais les Mac rappelle aux utilisateurs d’Apple de renforcer leur sécurité et d’être prudents avec les téléchargements, en particulier les invites à mettre à jour votre navigateur lorsqu’ils visitent des sites Web.
Même plusieurs mois après la découverte et les rapports sur Atomic, la charge utile n’est pas détectée par environ 50 % des moteurs AV sur VirusTotal.
De plus, toutes les mises à jour du navigateur Safari seront distribuées via la mise à jour logicielle de macOS, ou pour d’autres navigateurs, au sein du navigateur lui-même.
Par conséquent, si vous voyez des invites pour télécharger des mises à jour du navigateur sur des sites Web, elles doivent être ignorées.