Si macOS a longtemps été à l'abri des virus et autres malwares, le système d'exploitation d'Apple n'est pas infaillible et divers logiciels malveillants existent. Et Atomic macOS Stealer continue à évoluer, mois après mois, pour voler vos données.
Nous avions déjà parlé du logiciel en mai 2023 et en novembre 2023 mais un rappel est de bon ton. Atomic macOS Stealer est un programme qui tente de voler vos données et passe par un des rouages les moins sécurisés de macOS, ce qu'il y a entre la chaise et le clavier (oui, vous). Il s'attaque aux navigateurs et vise directement les portefeuilles de cryptomonnaies, un moyen rapide pour siphonner votre argent.
Intego a montré récemment que le programme essaye de nouvelles voies pour obtenir votre mot de passe, le sésame qui ouvre toutes les portes du système. Premièrement, il peut se cacher dans des images disques qui essayent de se faire passer pour des versions piratées de deux logiciels. Le premier est File Juicer, un programme capable d'extraire de nombreuses données d'un fichier quelconque ou d'une carte mémoire1, le second est Debit & Credit, une app disponible sur le Mac App Store. Dans les deux cas, ce n'est pas très perfectionné : dans l'image disque, vous verrez une application AppleApp avec des instructions.
Au lieu de vous proposer de glisser l'app dans le dossier idoine, elles demandent de faire un clic droit, puis de choisir Ouvrir, soit la méthode pour lancer une application qui n'est pas signée et donc n'a pas été vérifiée par Apple.
Dans les versions précédentes, il se cachait aussi dans de fausses mises à jour de Safari, nous l'avions expliqué, mais nos confrères expliquent que les malandrins tentent même de passer par des applications qui n'existent pas. En effet, une des images disques contient une « version Mac » (non) de Parallel, un jeu basé sur des NFT2. C'est un rien ironique de voir qu'un malware qui dérobe des informations liées aux cryptomonnaies se fait passer pour un jeu dédié aux NFT, d'ailleurs.
Un malware attaque macOS avec de fausses mises à jour de Safari ou Chrome
Un malware qui profite de Google
Intego donne deux informations importantes sur le programme. Premièrement, certains tentent de vous infecter deux fois, avec un malware qui intègre un second malware (Atomic Stealer). Ensuite, la distribution passe essentiellement par de faux sites mis en avant dans les résultats de Google à travers des publicités. Si vous avez l'habitude de taper le nom d'un site dans Google parce que vous ne vous souvenez jamais de son nom, méfiez-vous : les publicités peuvent passer devant la version légitime. La solution de base, outre taper l'URL, est d'ajouter un signet. Nos confrères indiquent que les domaines suivants sont infectés, donc à éviter : dowlosutr[.]click, farmfrnd[.]com, tarafe[.]com. Enfin, bien évidemment, la société (qui édite des antivirus) fait la publicité de ses outils, qui sont visiblement capables de détecter le programme malveillant. Et Intego en rajoute en expliquant que ses concurrents ne détectent généralement pas Atomic Stealer.
Terminons par deux recommandations basiques mais importantes : n'exécutez pas d'applications qui ne sont pas signées si vous n'êtes pas certains de leur origine et n'entrez pas votre mot de passe à tort et à travers. Dans le cas d'Atomic Stealer, il tente de simuler les fenêtres classiques de macOS, mais la copie reste assez grossière.
Atomic macOS Stealer, le malware qui vole vos données et vos cryptomonnaies
Source :
