Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants pour Mac Logiciel malveillant Atomic macOS Stealer

Logiciel malveillant Atomic macOS Stealer

Par Mezo en Logiciels malveillants pour Mac
Se traduisent par :

Des chercheurs en cybersécurité ont découvert une nouvelle campagne de logiciels malveillants qui exploite la tactique d'ingénierie sociale trompeuse connue sous le nom de ClickFix pour distribuer Atomic macOS Stealer (AMOS), un logiciel malveillant de vol d'informations conçu pour compromettre les systèmes Apple macOS.

Tactiques de typosquat : imitation de Spectrum

Les attaquants à l'origine de cette campagne utilisent des domaines de typosquattage imitant l'opérateur télécom américain Spectrum, en utilisant des sites web frauduleux comme panel-spectrum.net et spectrum-ticket.net pour attirer les utilisateurs peu méfiants. Ces domaines imitateurs sont conçus pour paraître légitimes, augmentant ainsi les chances de confiance et d'interaction des utilisateurs.

Script Shell malveillant : la charge utile cachée

Tout utilisateur macOS visitant ces sites usurpés reçoit un script shell malveillant. Ce script invite les victimes à saisir leur mot de passe système, puis vole leurs identifiants, contourne les contrôles de sécurité macOS et installe une variante du malware AMOS pour une exploitation ultérieure. Des commandes macOS natives sont utilisées pour maximiser l'efficacité du script tout en restant discret.

Traces d’origine : Commentaires sur le code de la langue russe

Des éléments suggèrent que des cybercriminels russophones pourraient être à l'origine de cette campagne. Les chercheurs ont découvert des commentaires en russe intégrés au code source du logiciel malveillant, ce qui suggère l'origine géographique et linguistique probable des auteurs de la menace.

CAPTCHA trompeur : le piège ClickFix

L'attaque commence par un faux message de vérification hCaptcha prétendant vérifier la sécurité de la connexion de l'utilisateur. Après avoir coché la case « Je suis humain », l'utilisateur reçoit un faux message d'erreur : « Échec de la vérification CAPTCHA ». Il est ensuite invité à procéder à une « vérification alternative ».

Cette action copie une commande malveillante dans le presse-papiers et affiche des instructions en fonction du système d'exploitation de l'utilisateur. Sous macOS, les victimes sont invitées à coller et à exécuter la commande dans l'application Terminal, ce qui lance le téléchargement d'AMOS.

Exécution bâclée : indices dans le code

Malgré l'intention dangereuse de la campagne, les chercheurs ont constaté des incohérences dans l'infrastructure d'attaque. Des erreurs de logique et de programmation ont été observées dans les pages de diffusion, telles que :

  • Commandes PowerShell copiées pour les utilisateurs Linux.
  • Instructions spécifiques à Windows affichées pour les utilisateurs Windows et Mac.
  • Incohérences frontales entre le système d'exploitation affiché et les instructions.
  • Ces erreurs indiquent une infrastructure d’attaque construite à la hâte ou mal entretenue.

L’essor de ClickFix : un vecteur de menace en pleine expansion

Cette évolution s'inscrit dans une tendance croissante à l'utilisation de la tactique ClickFix dans de multiples campagnes de malwares au cours de l'année écoulée. Les acteurs malveillants utilisent systématiquement des techniques, outils et procédures (TTP) similaires pour l'accès initial, le plus souvent :

  • Spear phishing
  • Téléchargements intempestifs
  • Liens malveillants partagés via des plateformes de confiance comme GitHub

Fausses solutions, véritables dégâts : l’ingénierie sociale à son paroxysme

Les victimes sont trompées en pensant résoudre un problème technique bénin. En réalité, elles exécutent des commandes malveillantes qui installent des logiciels malveillants. Cette forme d'ingénierie sociale est très efficace pour contourner la vigilance des utilisateurs et les mécanismes de sécurité standard.

Impact croissant : propagation mondiale et charges utiles diversifiées

Des campagnes ClickFix ont été détectées auprès de clients aux États-Unis, en Europe, au Moyen-Orient et en Afrique (EMEA). Ces attaques sont de plus en plus diversifiées, diffusant non seulement des logiciels malveillants comme AMOS, mais aussi des chevaux de Troie et des rançongiciels. Si les charges utiles peuvent varier, la méthodologie de base reste la même : manipuler le comportement des utilisateurs pour compromettre la sécurité.

Conclusion : Vigilance requise

Cette campagne souligne l'importance d'une vigilance constante, de la formation des utilisateurs et de contrôles de sécurité rigoureux. Face à l'évolution des tactiques d'ingénierie sociale comme ClickFix, les organisations comme les particuliers doivent rester informés et préparés à reconnaître et à bloquer ces menaces trompeuses.

Tendance

Le plus regardé

Chargement...