Les experts en sécurité ont émis des avertissements concernant un nouveau logiciel malveillant qui cible les appareils MacOS pour voler des informations sensibles, notamment des mots de passe enregistrés, des numéros de carte de crédit et des données provenant de plus de 50 extensions de navigateur de crypto-monnaie.
Surnommée «Atomic» – également connue sous le nom de «AMOS» – la menace est vendue sur la tristement célèbre application de messagerie cryptée Telegram, qui a la réputation d’être une plate-forme de partage de matériel et de contenu illicites, pour 1 000 $ par mois.
Il est livré avec plusieurs fonctionnalités qui permettent aux pirates de commettre plus facilement leurs crimes, comme un panneau Web pour aider à gérer leurs victimes, un forceur brut MetaMask, un vérificateur de crypto-monnaie, un installateur dmg et la possibilité de recevoir des journaux volés. sur Télégramme.
Indétectable
Des chercheurs des deux Treillis (s’ouvre dans un nouvel onglet) et Cyble labs (s’ouvre dans un nouvel onglet) ont suivi le logiciel malveillant et ont découvert que la dernière version était le 25 avril, ce qui suggère que des développements et des mises à jour sont en cours.
De plus, l’outil s’avère difficile à détecter, avec moins de 2 % des logiciels antivirus signalant le fichier dmg comme malveillant.
Les acteurs de la menace peuvent infecter les utilisateurs avec le logiciel malveillant via les méthodes habituelles, telles que les e-mails de phishing, les publications sur les réseaux sociaux, les campagnes de publicité malveillante, les mauvais torrents, etc.
Lorsque la victime ouvre le fichier dmg, elle reçoit une fausse invite pour entrer son mot de passe principal pour son appareil, que le logiciel malveillant vole pour entrer. Il essaie ensuite de voler les informations utilisateur enregistrées dans le porte-clés du gestionnaire de mots de passe propriétaire d’Apple.
Il essaie ensuite de voler des informations à partir de logiciels installés sur le système, tels que des portefeuilles de crypto-monnaie de bureau comme Electrum, Binance, Exodus et Atomic, ainsi que 50 autres extensions de portefeuille, notamment Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty et Chaîne Binance.
Les données du navigateur Web sont également extraites, telles que les mots de passe et les cartes de paiement enregistrés sur Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera et Vivaldi. Les informations système telles que le nom du modèle, les numéros de série, l’UUID matériel, la taille de la RAM et le nombre de cœurs sont également parcourues.
Atomic peut également voler des fichiers directement à partir de répertoires tels que les dossiers Desktop et Documents. Mais ce faisant, le logiciel malveillant doit demander l’autorisation du système, dont l’utilisateur est informé, ce qui peut lui donner l’occasion de détecter l’infection.
Les données volées sont compressées dans un fichier zip et envoyées au serveur de commande et de contrôle de l’acteur de la menace, qui, fait intéressant, a la même adresse IP que celle utilisée par le Raccoon Stealer, suggérant un lien entre les deux.
Les appareils Apple ne sont généralement pas autant ciblés par les logiciels malveillants que les machines Windows, mais il semble que cela commence à changer, car un rapport récent a affirmé que ces menaces sont en augmentation.