Le logiciel malveillant Atomic Stealer Mac distribué via une publicité malveillante
Une récente campagne de publicité malveillante a été détectée, distribuant une version mise à jour du malware de vol macOS connu sous le nom d'Atomic Stealer ou AMOS, indiquant une maintenance active par son créateur.
Atomic Stealer, un malware Golang facilement disponible pour 1 000 $ par mois, a fait son apparition en avril 2023. Peu de temps après, de nouvelles variantes dotées de capacités étendues de collecte de données sont apparues, ciblant les joueurs et les amateurs de cryptomonnaie.
La principale méthode de distribution observée dans cette campagne est la publicité malveillante via Google Ads. Les utilisateurs recherchant des logiciels populaires, légitimes ou piratés, sur les moteurs de recherche sont exposés à de fausses publicités qui les redirigent vers des sites Web hébergeant des installateurs malveillants.
Dans la dernière campagne, un site Web trompeur TradingView met en évidence trois boutons de téléchargement pour les systèmes d'exploitation Windows, macOS et Linux.
Charge utile Atomic Stealer distribuée via un fichier hébergé sur Discord
Jérôme Segura, directeur de la veille sur les menaces chez Malwarebytes, a expliqué que les boutons Windows et Linux mènent à un programme d'installation MSIX hébergé sur Discord, qui supprime le RAT NetSupport.
La charge utile macOS, intitulée « TradingView.dmg », est une nouvelle version d'Atomic Stealer publiée fin juin. Il est regroupé dans une application signée personnalisée qui, lors de son exécution, demande aux utilisateurs une fausse demande de mot de passe, permettant ainsi la récolte de fichiers et de données stockés dans le trousseau iCloud et les navigateurs Web.
Le but ultime de l'attaquant est de contourner les protections de macOS Gatekeeper et de transférer les données volées vers un serveur sous son contrôle.
Cette évolution coïncide avec le fait que macOS devient une cible de plus en plus attractive pour les attaques de logiciels malveillants. Ces derniers mois ont vu l'émergence d'outils de vol d'informations spécifiques à macOS, vendus sur des forums criminels, profitant de l'utilisation généralisée des systèmes Apple dans les organisations.