Le nouveau logiciel malveillant Atomic macOS vole des mots de passe de porte-clés et des portefeuilles cryptographiques

28 avril 2023Ravie LakshmananSécurité des terminaux / Crypto-monnaie

Les acteurs de la menace annoncent un nouveau voleur d’informations pour le système d’exploitation Apple macOS appelé Voleur atomique de macOS (ou AMOS) sur Telegram pour 1 000 $ par mois, rejoignant les goûts de MacStealer.

« Atomic macOS Stealer peut voler divers types d’informations sur la machine de la victime, y compris les mots de passe du trousseau, des informations système complètes, des fichiers du dossier du bureau et des documents, et même le mot de passe macOS », ont déclaré les chercheurs de Cyble. a dit dans un rapport technique.

Parmi les autres fonctionnalités, citons sa capacité à extraire des données de navigateurs Web et de portefeuilles de crypto-monnaie comme Atomic, Binance, Coinomi, Electrum et Exodus. Les pirates qui achètent le voleur à ses développeurs reçoivent également un panneau Web prêt à l’emploi pour gérer les victimes.

Le malware prend la forme d’un fichier image disque non signé (Setup.dmg) qui, lorsqu’il est exécuté, invite la victime à entrer son mot de passe système sur une fausse invite pour élever ses privilèges et mener ses activités malveillantes – une technique également adoptée par MacStealer .

Le vecteur d’intrusion initial utilisé pour diffuser le logiciel malveillant n’est pas immédiatement clair, bien qu’il soit possible que les utilisateurs soient manipulés pour le télécharger et l’exécuter sous le couvert d’un logiciel légitime.

L’artefact du voleur atomique, soumis à VirusTotal le 24 avril 2023, porte également le nom « Notion-7.0.6.dmg », ce qui suggère qu’il est propagé en tant qu’application de prise de notes populaire. Autres échantillons déterré par MalwareHunterTeam sont distribués en tant que « Photoshop CC 2023.dmg » et « Navigateur Tor.dmg. »

« Des logiciels malveillants tels que Atomic macOS Stealer pourraient être installés en exploitant des vulnérabilités ou en hébergeant sur des sites Web de phishing », a noté Cyble.

Atomic procède ensuite à la collecte des métadonnées du système, des fichiers, du trousseau iCloud, ainsi que des informations stockées dans les navigateurs Web (par exemple, les mots de passe, le remplissage automatique, les cookies, les données de carte de crédit) et les extensions de portefeuille crypto, qui sont toutes compressées dans une archive ZIP et envoyées à un serveur distant. Le fichier ZIP des informations compilées est ensuite envoyé aux canaux Telegram préconfigurés.

Le développement est un autre signe que macOS devient de plus en plus une cible lucrative au-delà des groupes de piratage des États-nations pour déployer des logiciels malveillants voleurs, ce qui rend impératif que les utilisateurs téléchargent et installent uniquement des logiciels à partir de sources fiables, activent l’authentification à deux facteurs, examinent les autorisations des applications et s’abstiennent. d’ouvrir des liens suspects reçus par e-mail ou SMS.