Un nouveau logiciel malveillant voleur d’informations macOS nommé « Atomic » (alias « AMOS ») est vendu aux cybercriminels via des canaux privés Telegram pour un abonnement de 1 000 $ par mois.
Pour ce prix élevé, les acheteurs obtiennent un fichier DMG contenant un malware basé sur Go 64 bits conçu pour cibler les systèmes macOS et voler les mots de passe du trousseau, les fichiers du système de fichiers local, les mots de passe, les cookies et les cartes de crédit stockées dans les navigateurs.
Le logiciel malveillant tente également de voler les données de plus de 50 extensions de crypto-monnaie, qui sont devenues une cible populaire pour les logiciels malveillants voleurs d’informations.
Pour le prix, les cybercriminels bénéficient également d’un panneau Web prêt à l’emploi pour une gestion facile des victimes, d’un forceur brut MetaMask, d’un vérificateur de crypto-monnaie, d’un programme d’installation dmg et de la possibilité de recevoir des journaux volés sur Telegram.
Le logiciel malveillant a récemment été repéré par un chercheur de Trellix et des chercheurs des laboratoires Cyble, qui ont analysé un échantillon de « Atomic » et ont signalé que l’auteur avait publié une nouvelle version le 25 avril 2023, il s’agit donc d’un projet activement développé.
Au moment de la rédaction de cet article, le fichier dmg malveillant n’est en grande partie pas détecté sur VirusTotal, où seul un moteur antivirus sur 59 le signale comme malveillant.
En ce qui concerne sa distribution, les acheteurs sont responsables de la mise en place de leurs propres canaux, qui peuvent inclure des e-mails de phishing, des publicités malveillantes, des publications sur les réseaux sociaux, des messages instantanés, du référencement noir, des torrents entrelacés, etc.
Caractéristiques atomiques
L’Atomic Stealer dispose d’une gamme complète de fonctionnalités de vol de données, offrant à ses opérateurs de meilleures opportunités pour pénétrer plus profondément dans le système cible.
Lors de l’exécution du fichier dmg malveillant, le logiciel malveillant affiche une fausse invite de mot de passe pour obtenir le mot de passe système, permettant à l’attaquant d’obtenir des privilèges élevés sur la machine de la victime.
Il s’agit d’une exigence pour accéder aux informations sensibles, mais une future mise à jour pourrait également en tirer parti pour modifier les paramètres système ou installer des charges utiles supplémentaires.
Après ce premier compromis, le logiciel malveillant tente d’extraire le mot de passe Keychain, le gestionnaire de mots de passe intégré de macOS qui contient les mots de passe WiFi, les connexions au site Web, les données de carte de crédit et d’autres informations cryptées.
Après avoir fait ce qui précède, Atomic procède à l’extraction des informations du logiciel qui s’exécute sur la machine macOS piratée, notamment :
- Portefeuilles de crypto-monnaie de bureau : Electrum, Binance, Exodus, Atomic
- Extensions de portefeuille de crypto-monnaie : 50 extensions sont ciblées au total, dont Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi et BinanceChain.
- Données du navigateur Web : remplissages automatiques, mots de passe, cookies et cartes de crédit de Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera et Vivaldi.
- Informations système : nom du modèle, UUID matériel, taille de la RAM, nombre de cœurs, numéro de série, etc.
Atomic donne également aux opérateurs la possibilité de voler des fichiers directement à partir des répertoires ‘Desktop’ et ‘Documents’ de la victime.
Cependant, le logiciel malveillant doit demander l’autorisation d’accéder à ces fichiers, ce qui crée une opportunité pour les victimes de réaliser l’activité malveillante.
Lorsqu’il vole des données, le logiciel malveillant emballe le tout dans un fichier ZIP, puis l’envoie au serveur de commande et de contrôle de l’auteur de la menace, qui, selon Cyble, se trouve à « amos-malware[.]ru/sendlog ».
De là, les informations sélectionnées et l’archive ZIP sont également envoyées au canal Telegram privé de l’opérateur.
Bien que macOS ne soit pas à l’épicentre des activités de vol d’informations malveillantes, comme Windows, il est de plus en plus ciblé par des acteurs de la menace de tous niveaux de compétence.
Un groupe APT nord-coréen a récemment déployé un nouveau voleur d’informations macOS dans l’attaque de la chaîne d’approvisionnement 3CX, illustrant que les Mac sont désormais une cible pour les groupes de piratage, même parrainés par l’État.