Une nouvelle campagne de publicité malveillante a été observée distribuant une version mise à jour d’un malware voleur de macOS appelé Voleur atomique (ou AMOS), indiquant qu’il est activement maintenu par son auteur.
Un malware Golang prêt à l’emploi disponible pour 1 000 $ par mois, Atomic Stealer a été découvert pour la première fois en avril 2023. Peu de temps après, de nouvelles variantes dotées d’un ensemble étendu de fonctionnalités de collecte d’informations ont été détectées dans la nature, ciblant les joueurs et les utilisateurs de crypto-monnaie. .
La publicité malveillante via Google Ads a été observée comme le principal vecteur de distribution dans lequel les utilisateurs recherchant des logiciels populaires, légitimes ou piratés, sur les moteurs de recherche, voient apparaître de fausses publicités redirigeant vers des sites Web hébergeant des installateurs malveillants.
La dernière campagne implique l’utilisation d’un site Web frauduleux pour TradingView, mettant en évidence trois boutons permettant de télécharger le logiciel pour les systèmes d’exploitation Windows, macOS et Linux.
« Les boutons Windows et Linux pointent vers un programme d’installation MSIX hébergé sur Discord qui supprime NetSupport RAT », a déclaré Jérôme Segura, directeur de la veille sur les menaces chez Malwarebytes.
La charge utile macOS (« TradingView.dmg ») est une nouvelle version d’Atomic Stealer publiée fin juin, qui est regroupée dans une application signée ad hoc qui, une fois exécutée, invite les utilisateurs à saisir leur mot de passe sur une fausse invite et récoltez des fichiers ainsi que des données stockées dans le trousseau iCloud et les navigateurs Web.
« Atomic Steer cible également les navigateurs Chrome et Firefox et dispose d’une longue liste codée en dur d’extensions de navigateur liées à la cryptographie à attaquer », avait précédemment noté SentinelOne en mai 2023. Certaines variantes ont également ciblé les portefeuilles Coinomi.
Le but ultime de l’attaquant est de contourner les protections Gatekeeper de macOS et d’exfiltrer les informations volées vers un serveur sous son contrôle.
Cette évolution intervient alors que macOS devient de plus en plus une cible viable pour les attaques de logiciels malveillants, avec un certain nombre de voleurs d’informations spécifiques à macOS apparaissant en vente sur les forums de logiciels criminels ces derniers mois pour profiter de la large disponibilité des systèmes Apple dans les organisations.
« Bien que les logiciels malveillants Mac existent réellement, ils ont tendance à être moins détectés que leurs homologues Windows », a déclaré Segura. « Le développeur ou le vendeur d’AMOS a en fait fait valoir comme argument de vente que sa boîte à outils est capable d’échapper à la détection. »
Atomic Stealer n’est pas le seul malware propagé via des campagnes d’empoisonnement de publicité malveillante et d’optimisation des moteurs de recherche (SEO), car des preuves ont émergé de DarkGate (alias MehCrypter) s’accrochant au même mécanisme de diffusion.
De nouvelles versions de DarkGate ont depuis été utilisées dans des attaques montées par des acteurs malveillants employant des tactiques similaires à celle de Scattered Spider, ont déclaré le mois dernier les services de réponse aux incidents de Stroz Friedberg d’Aon.
