L'activité du malware Atomic macOS info-stealer ne faiblit pas et ce logiciel conçu pour dérober rapidement des données a évolué pour s'installer dans la durée sur les Mac infectés. Surnommé aussi AMOS, ce malware avait été repéré il y a deux ans. Ses cibles étaient en premier lieu les portefeuilles de cryptomonnaies qu'il déverrouillait en subtilisant des identifiants dans le Trousseau ou dans les navigateurs web du Mac.
L'intrus arrivait sur les machines cibles d'une manière assez classique, après un clic sur un lien conduisant à un programme d'infection ou par un logiciel piraté. Le malware affichait alors de fausses fenêtres système pour réclamer la saisie du mot de passe de session.
Les chercheurs de Moonlock, l'équipe sécurité de MacPaw (CleanMyMac X), ont observé à la fois une différence d'approche et de fonctionnement dans les dernières évolutions d'AMOS. Il ne s'agit plus de s'installer le temps de subtiliser ce qui peut l'être, mais d'ouvrir une porte dérobée à travers laquelle le malware peut être télécommandé depuis des serveurs. Cela permet d'exécuter des commandes à distance, d'observer les touches frappées lors de la saisie de texte ou d'identifiants et, plus généralement, de profiter de toute occasion qui peut se présenter au fil du temps.
L'intrusion a évolué pour cibler certains profils plutôt que de ratisser très large en passant par exemple par des logiciels pirates. Ce sont par exemple des offres d'emploi qui sont mises en ligne où le candidat doit télécharger une application de visioconférence pour la poursuite de la discussion. Une fois le logiciel lancé et le mot de passe de session récupéré, le malware peut s'installer et disposer de privilèges d'accès importants. Il a été remarqué en outre qu'il résistait aux redémarrages.
D'après Moonlock, la présence d'AMOS a été repérée dans 120 pays parmi lesquels les États-Unis, le Canada, la France, l'Italie et le Royaume-Uni sont les plus touchés. Pour se défaire de ce malware il n'y a guère d'autre solution que les logiciels spécialisés. Pour s'en prémunir, c'est toujours la même règle qui s'impose : ne pas télécharger n'importe quoi n'importe où et se méfier des logiciels connus trouvés en dehors de leurs circuits de distribution habituels (site de l'éditeur, Mac App Store, etc.)
Atomic macOS Stealer, le malware qui vole vos données et vos cryptomonnaies
