Cyble Research and Intelligence Labs (CRIL) a découvert un nouveau malware macOS, Atomic macOS Stealer (AMOS) vendu sur Telegram pour 1 000 $ par mois. Le logiciel malveillant est conçu pour extraire des informations confidentielles de l’ordinateur telles que les mots de passe du trousseau, les remplissages automatiques, les portefeuilles, les informations de carte de crédit, etc.
Récemment, les laboratoires de sécurité Elastic ont déclaré que macOS était nettement plus sécurisé que Windows et Linux dans son rapport de printemps 2023 sur les menaces mondiales avec seulement 6 % de logiciels malveillants détectés contre 54 % sur Linux et 39 % sur Windows de toutes les instances.
Cependant, le rapport mentionne également que les crypto-mineurs étaient les malware macOS le plus dominant, XMRig représentait près de 40 % des instances. Le nouveau malware AMOS macOS peut également cibler les cryptowallets.
Le malware AMOS macOS cible également les cryptowallets comme Exodus, Binance et autres
Selon Résultats du CRIL , vu par Cyble, l’acteur de la menace (TA) derrière l’AMOS met continuellement à jour le logiciel malveillant pour ajouter de nouvelles fonctionnalités, sa dernière mise à jour a été publiée le 25 avril.
AMOS affiche une fausse invite pour extraire le mot de passe de la machine et êtres pour cibler le trousseau (outil de gestion des mots de passe), les portefeuilles cryptographiques, les répertoires du ou des navigateurs, les fichiers et les informations système pour collecter des informations sensibles telles que les informations système complètes, les mots de passe, les détails des cartes de crédit, etc. Les données sont envoyées à un serveur C&C distant.
Atomic macOS Stealer peut voler divers types d’informations sur la machine de la victime, y compris les mots de passe du trousseau, des informations système complètes, des fichiers du dossier du bureau et des documents, et même le mot de passe macOS. Le voleur est conçu pour cibler plusieurs navigateurs et peut extraire les remplissages automatiques, les mots de passe, les cookies, les portefeuilles et les informations de carte de crédit. Plus précisément, AMOS peut cibler des cryptowallets tels qu’Electrum, Binance, Exodus, Atomic et Coinomi.
TA offre également des services supplémentaires à ses clients comme un panneau Web pour la gestion des victimes, un vérificateur de chiffrement, des clés privées, la force brute de métamasque et d’autres dans les frais d’abonnement mensuels de 1000 $.
Ces logiciels malveillants sont installés sur les machines en exploitant les vulnérabilités ou en les hébergeant sur des sites Web de phishing. Par conséquent, il est conseillé aux utilisateurs de Mac de télécharger des applications depuis l’App Store officiel d’Apple, d’utiliser un antivirus, de conserver des mots de passe forts et 2FA, d’activer la fonction d’authentification de sécurité biométrique, de ne pas ouvrir les liens douteux reçus dans les e-mails et de mettre régulièrement à jour leur appareil avec le dernier système d’exploitation.