La croissance des environnements Mac aiguise les appétits des cybercriminels. Une étude menée par Cyble Research and Intelligence Labs (CRIL) met en lumière le malware AMOS pour Atomic macOS Stealer. Comme son nom l’indique, il s’agit d’un voleur de données notamment les mots de passe ou les fichiers du bureau, ainsi que les éléments du dossier Documents. Il cible aussi les navigateurs à la recherche d’identifiants, de numéros de carte de crédit, des cookies, ainsi que les portefeuilles de cryptomonnaies d’Atomic, Binance, Coinomi, Electrum, Exodus et autres

AMOS a été repéré sur le service de messagerie sécurisée Telegram. Il est très actif et la personne ou le groupe derrière cet infostealer améliore constamment le malware pour le rendre plus efficace. Il est disponible à la vente pour 1 000 dollars par mois. Ce prix comprend un accès au logiciel, ainsi qu’à une interface web pour gérer les victimes, à un outil de force brute pour dérober les clés privées. Les clients ont aussi accès à un vérificateur de cryptographie et à un installateur de fichiers .dmg.

Un fichier image disque non signé pointé du doigt

Ce dernier est le vecteur de propagation du malware. Le fichier image disque non signé (.dmg) est souvent activé lors de téléchargement d’applications tierces. Quand l’utilisateur l’ouvre, il est invité à saisir le mot de passe de son Mac, ce qui déclenche le logiciel malveillant. Le fichier .dmg peut avoir des noms de fichiers qui semblent légitimes - des cas de fausses images de disque intitulées Notion-7.0.6.dmg, Photoshop CC 2023.dmg et Tor Browser.dmg ont été signalés sur VirusTotal, un site web qui analyse les fichiers suspects et les répertorie dans une base de données.

L’analyse du CRIL intervient après une étude publiée récemment par MalwareHunterTeam qui a découvert que le groupe Lockbit travaillait sur une évolution du ransomware pour macOS en particulier sur les terminaux équipés des puces M1. Apple a mis en place des protections dans macOS et l'entreprise publie des correctifs de sécurité via des mises à jour du système d'exploitation, il est donc important de les installer dès que possible. Et comme toujours, il est toujours préférable de télécharger les logiciels à partir de sources fiables, comme l'App Store (qui vérifie la sécurité de ses logiciels) ou directement auprès du développeur.