Maliciel dérobeur : macOS n’est pas à l’abri
Proposé à la location depuis le 9 avril, l’infostealer Atomic MacOS Stealer (Amos) menace les portefeuilles de cryptomonnaies, mais également les mots de passe stockés dans les navigateurs Web et le trousseau.
Les logiciels malveillants dérobeurs, les infostealers, ne sont pas un fléau réservé aux PCs sous Windows. Amos – pour Atomic MacOS Stealer System – l’illustre à nouveau.
Comme son nom l’indique, il vise macOS. Selon son auteur, il est capable de collecter les informations d’accès aux portefeuilles de cryptomonnaies Electrum, Binance, Exodus, Atomic, Coinomi, notamment. Mais il permet aussi à un cybercriminel de collecter les mots de passe et cookies de Chrome, ou encore les cookies et données de remplissage automatique de formulaires de Firefox.
Amos intègre également des capacités de vol de fichiers, sur le bureau ainsi que dans le dossier Documents. Et encore, cet éventail fonctionnel relativement limité est celui qui était annoncé le 9 avril, au moment du début de la commercialisation d’Amos.
Depuis, ce logiciel malveillant a évolué, pouvant s’attaquer au trousseau de macOS, mais aussi aux données d’un éventail considérablement élargi de navigateurs : Brave, Edge, Vivaldi, Opera et OperaGX, sont notamment venus allonger la liste.
Amos est proposé en mode service à 1 000 $/mois. Pour ce prix-là, les « clients » peuvent disposer d’une interface d’administration et recevoir les logs collectés sur les machines de leurs victimes directement dans un message sur Telegram.
Amos pourrait avoir commencé à être testé avant le début de sa mise en vente : un chercheur évoquait, début mars, un nouvel infostealer furtif pour macOS. Et les équipes de Cyble ont déjà réussi à mettre la main sur un échantillon d’Amos.
Dans un billet de blog, ils expliquent que ce maliciel est écrit en Go et confirment l’éventail fonctionnel avancé par ses auteurs. Les données collectées sont encodées en Base64 et envoyées sur http, en clair, à un serveur Web en Russie.
Le serveur en question est hébergé sur une adresse IP gérée par Shelter LLC. Ce dernier était encore tout récemment connu sous le nom de Galaxy LLC. Son système autonome numéroté 211409 ressort régulièrement dans les systèmes de commande et de contrôle de stealers, à commencer par Aurora et RecordBreaker, le successeur de Raccoon Stealer, aussi souvent désigné comme Raccoon Stealer 2.0.
Surtout, le nom de domaine d’Amos est géré, depuis mi-janvier, par ZeroHost, un hébergeur particulièrement discret, recommandé par les opérateurs du stealer Erbium qui souligne que les serveurs de ZeroHost « peuvent être utilisés comme cheval de Troie distant (RAT), stealer, botnet, phishing, malware, etc. ». La même publicité a été récemment partagée du canal Telegram de ZeroHost sur celui des opérateurs d’Aurora.