Atomic macOS Stealer, le malware qui vole vos données et vos cryptomonnaies
Les attaques contre macOS se multiplient : après MacStealer, un malware présenté récemment, voici Atomic macOS Stealer (ou AMOS), un autre produit développé par des malandrins qui en veulent à vos données, notamment vos éventuelles cryptomonnaies.
Un malware sur abonnement pour 1 000 $ par mois
Cyble a découvert ce logiciel malveillant fin avril, dans une boucle sur le Telegram. Selon la société, il est capable de récupérer les données du trousseau d'accès iCloud — qui contient vos mots de passe —, les fichiers présents sur le bureau et dans les documents et les données des navigateurs majeurs (qui contiennent aussi peut-être des mots de passe). Il s'attaque enfin aux portefeuilles liés à certaines plateformes qui gèrent des cryptomonnaies, comme Lectrum, Binance, Exodus, Atomic et Coinomi. Comme beaucoup de malware modernes, il est proposé dans une sorte d'abonnement : l'attaquant paye le concepteur pour obtenir une version continuellement à jour, ici pour 1 000 $ par mois.
MacStealer, un « Malware as a Service » qui attaque les Mac
Selon l'analyse technique de Cyble, le programme emploie la même technique basique sur MacStealer : il génère une fausse fenêtre qui demande le mot de passe du compte Apple. C'est une solution qui peut berner un utilisateur peu averti, mais les personnes qui se méfient peuvent tout de même se faire avoir par ce genre d'attaque : comme macOS réclame régulièrement le mot de passe, il est possible de le taper par inadvertance, dans un moment d'inattention.
Le malware s'attaque à de nombreux portefeuilles liés aux cryptomonnaies, mais aussi à Firefox, Chrome, Edge, Yandex, Opera et Vivaldi. Pour les données du bureau et des documents, il passe en effet par les fonctions attachées à la synchronisation iCloud. Et une fois les différentes informations récupérées, il peut envoyer le tout sur la plateforme Telegram de façon autonome, pour que les malandrins puissent réutiliser vos données.
Encore une fois, la recommandation de base est d'éviter de télécharger des applications n'importe où. Le Mac App Store reste évidemment une source fiable, tout comme les sites officiels des développeurs. Si une application n'est pas signée, demande des manipulations qui réduisent la sécurité de votre Mac (comme désactiver le SIP) ou commence par vous réclamer votre mot de passe, il y a probablement un problème. De même, si une fenêtre vous exige votre mot de passe sans proposer la validation biométrique, méfiez-vous.
"si une fenêtre vous exige votre mot de passe sans proposer la validation biométrique, méfiez-vous"
Même macOS ne la propose pas toujours.
Et tous les Mac en circulation n'ont pas TouchID.
@geooooooooffrey
Il faudra bientôt s’habituer à taper d’abord un faux lot de passe. Si ça passe, c’est que c’est un malware. Si la fenêtre tremble, c’est que c’est une fenêtre authentique.
Et avec le F2A activé, je ne vois pas comment ils peuvent voler les cryptos. 🤔
Ça relève du génie , c'est toi qui a commenté ça sur macrumors également ?
Simple et logique , j'adore
Et pas si fastidieux que ça
Faut juste s'en rappeler
@ratz
Merci, merci, mais non, c’est pas moi, c’est toi. 🙈
Comme on dit : Le vrai génie est comme l'abeille, il trouve du miel sur toutes les fleurs. 🫶🏻
oh c'est trop mignon !
Et non c'est toi :)
@ roccoyop
"Il faudra bientôt s’habituer à taper d’abord un faux mot de passe. Si ça passe, c’est que c’est un malware. Si la fenêtre tremble, c’est que c’est une fenêtre authentique."
C'est ce que je m'amuse à faire sur les faux sites de banques... je leur refile un faux nom d'utilisateur avec un faux mot de passe et un faux numéro de carte bancaire*, et en fait tout ne passe pas toujours du 1er coup, parfois le site répond que le code entré est faux et qu'il faut recommencer…
… et il ne faut pas oublier que les pirates et autres escrocs s'adaptent et que pour chaque contre-mesure ils développent rapidement une contre-contre-mesure : et pour contrer la contre-mesure de taper d'abord un faux mot de passe il est simple de systématiquement faire croire à l'utilisateur que le mot de passe est erroné de manière à ce que l'utilisateur croit que le truc est légitime et rentre le bon mot de passe la 2e fois !
Bref, il va falloir s'habituer à taper d'abord 2 faux mots de passe, et si la fenêtre tremble 2 fois de suite c’est que c’est une fenêtre authentique.
Jusqu'au jour où les pirates feront trembler la fenêtre 2 fois de suite…
* ce que tout le monde devrait faire, car ça permettrait de noyer les pirates dans un flots de fausses données inutilisables !
Ce qui est drôle quand même, c'est que vous croyiez un seul instant que le fait de respecter des recommandations sécuritaires simpl(ist)es (mac appstore, SIP, etc...) présente la moindre garantie de ne pas être victime de ce genre de malware...
Alors que dans 99 % des cas, c'est parce que les utilisateurs sont très peu experts de leur propre machine et de son OS qu'ils sont des pigeons faciles à plumer.
Ça ne s'arrêtera jamais et il n'y a pas de solution contre ça.
@pecos
« Ce qui est drôle quand même, c'est que vous croyiez un seul instant que le fait de respecter des recommandations sécuritaires simpl(ist)es (mac appstore, SIP, etc...) présente la moindre garantie de ne pas être victime de ce genre de malware... »
Ce qui est drôle quand même, c’est que vous déformiez les propos de l’article, qui n’a jamais dit que vous étiez parfaitement en sécurité si vous téléchargez sur le Mac App Store où sur le site des développeurs, et qui dit clairement qu’il y a un risque si l’application est non signée et/ou demande de désactiver SIP (qui n’est pas si simpliste que ça au passage)…
Comment savoir si une machine est infectée ?
@jorg4
Quand ton compte bancaire se fait vidanger le luc 😅
Et pendant ce temps, la commission européenne continue son travail de sape concernant la sureté des iPhones et d'iOS en exigeant des stores parallèles et une ouverture quasi complète, et à tous vents, d'un système encore à peu près sûr grâce aux restrictions raisonnées d'Apple.
Si le sécu-verrouillage d'Apple ne convient pas, il ne manque pas de choix parmi la concurrence, largement majoritaire sur le plan commercial, pour y choisir soft et matériel contaminable à souhaits...
@edualc
Deux choses complètement différentes …..
Le Mac appStore est justement la preuve que la diffusion des applications via un store contrôlé par Apple n'est pas du tout gage de sécurité. Le Mac AppStore regorge de malwares!
@r e m y
Il faut alors s’imaginer ce que ça va donner dans un store qui n’a AUCUN contrôle. 😱
Et pourquoi n'y aurait-il pas un store avec un réel contrôle et test des apps proposées, au contraire?
De toutes façons, la seule vérité c'est que ce n'est pas le store quel qu'il soit qui peut garantir la sécurité, mais l'OS ET la vigilance de l'utilisateur.
@r e m y
On a un super exemple côté android. La vigilance de l’utilisateur, c’est la principale faille du système justement, d’où l’intérêt de limiter les stores avant que les vannes de tout ce qui se fait de pire ne soient grandes ouvertes.
@edualc
"Et pendant ce temps, la commission européenne continue son travail de sape concernant la sureté des iPhones et d'iOS en exigeant des stores parallèles et une ouverture quasi complète, et à tous vents, d'un système encore à peu près sûr grâce aux restrictions raisonnées d'Apple."
Ça n’est pas vrai : personne ne t’oblige à aller sur un store alternatif et personne ne ferme l’App Store ou le Play Store. Quand aux législations que sont le DMA et le DSA, elles ont été publiées respectivement en septembre et octobre 2022, la première entrant en vigueur ces jours-ci et la seconde le 25 août pour les GAFAM. Cela a échappé aux mains de la Commission depuis à peu près trois ans et le texte a été adopté par les législateurs européens, Parlement européen et Conseil de l’UE. L’application du texte par la Commission et les États membres se fera donc selon les critères déterminés par le législateur, tu sais, ces gens qui ont été élus par des gens qu’on appelle des citoyens et qui donnent leur avis généralement tous les cinq ans, soit directement, soit en désignant leur gouvernement national. Je n’ai pas voté pour les « restrictions raisonnées » d’Apple… et en plus Cook va régulièrement à Bruxelles ou Strasbourg pour expliquer son intérêt pour la législation européenne en la matière, allant jusqu’à réclamer un RGPD américain ou mondial.
@Fego007
Ah bon ?
C'est pour moi l'essence même du sujet.
;o)
@edualc
Tout à fait d’accord
@edualc
Bein non. La Commission européenne réclame la possibilité d’accéder à des apps en dehors de l’App Store, pour le cas d’Apple. En aucun cas cette même commission n’oblige l’utilisateur à acheter et/ou télécharger des apps en dehors de l’App Store.
Il s’agit donc bien de deux sujets différents.
Perso, ça ne va rien changer pour moi : je n’irais pas sur les stores alternatifs. Et chacun fait ce qu’il veut.
NON le Mac AppStore n'est pas une source fiable!
Il comporte depuis l'origine des dizaines de malwares qu'Apple laisse passer. Quand on les signale, ils sont supprimés et réapparaissent en quelques jours sous un autre nom et un autre développeur (sans que l'app elle-même ne soit modifiée).
Cherchez "adware medic" par exemple.... 9 sur 10 des apps proposées sont des malwares.
Non seulement le Mac AppStore n'est pas une source fiable, mais c'est un vecteur privilégié pour diffuser ces cochonneries, justement parce que l'utilisateur non averti fait confiance à Apple et donnera sans broncher son mot de passe administrateur et l'"accès à tout le disque" à ces prétendus "anti malwares".
@ Remy,
Certes, l'AppStore n'est pas infaillible, mais il bénéficie d'un minimum de contrôle et ne distribue pas sciemment des applications vérolées.
Avec une certaine logique et deux sous de jugeote, il est possible de déterminer une application risquant de poser un problème et se montrer prudent.
Ce peut être en raison de sa nature, de son origine, de ses créateur et éditeur, mais surtout des mécanismes qu'elle requiert.
Cependant, l'essentiel des applications d'usage courant, documentées et bien connues de la communauté ne présente pas de danger.
Or, la multiplication de leur lieu de chargement va nécessairement nous ramener des années en arrière en matière de sécurité.
Plus on multiplie les voies d'obtention d'un logiciel et plus on augmente les risques d'en télécharger une version altérée. C'est mathématique.
Cldt
Non sur Mac, Apple ne contrôle rien du tout. Pendant au moins 2 ans je leur ai signalé ces faux antivirus et anti-malwares présents sur le store. Systématiquement après signalement, ils supprimaient les apps, mais les re validaient dès qu'elles étaient à nouveau soumises (par d'autres comptes développeurs). Je les signalais à nouveau, elles étaient à nouveau supprimées, et réapparaissaient encore et encore...
J'ai fini par arrêter, mais je constate que ces apps sont toujours distribuées sur le Mac AppStore.
Si même les malwares sont avec abonnement, c’est la fin 🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣
En crypto, c’est simple, si tu n’as pas les clés, tu n’as pas de crypto.
@Tyche
Et pourtant, il est dit qu’il en veut aux cryptomonnaies. Il doit bien les obtenir…
existe-t-il un bon logiciel pour voir si son ordi est infecté? j'ai fait un scan avec Clean my mac et rien, mais est ce que c'est assez performant ce programme?
Malwarebytes mais j'ai comme l'impression que c'est un peu de la blague aussi ...
J'ai pas compris, c'est un programme à 1000$ par mois pour pirater d'autres utilisateurs ? C'est un programme qui lance des malwares ? Ou le programme à 1000 $ est lui même le malware ?
C'est un programme a intégrer dans ton appli pr voler les données , et il t'en coûtera 1000€ afin de pouvoir l'utiliser
petite erreur dans l’article j’ai impression. Vous dites que le malware demande le mot de passe du compte Apple, mais c’est plutôt le mot de passe de la session qu’il demande.
Pour avoir accès au trousseau iCloud