Atomic macOS Stealer (AMOS), un tout nouveau virus de vol de données visant le système informatique macOS d’Apple, est actuellement proposé par des pirates sur Telegram pour mille dollars par mois. Ce nouveau produit vient s’ajouter aux logiciels malveillants de type MacStealer. Selon les chercheurs de Cyble, Atomic macOS Stealer peut voler diverses informations sur l’ordinateur de la victime, notamment les mots de passe du trousseau, les informations système, les fichiers du bureau, le dossier des documents et même le mot de passe macOS.

Le virus est également capable de voler des informations sur de nombreux sites Internet et portefeuilles de monnaies numériques, notamment Atomic, Binance, Coinomi, Electrum et Exodus. Les pirates qui achètent ce virus à ses créateurs disposent également d’une interface en ligne facilement accessible pour contrôler les personnes atteintes.

Le fichier photo du disque (Setup.dmg) contenant le logiciel malveillant n’est pas enregistré. Il incite l’utilisateur à taper le code d’accès de son ordinateur dans une fausse fenêtre contextuelle afin d’obtenir des autorisations et d’effectuer des actions illégales. MacStealer utilise également cette méthode.

Lire aussi : « Google fait tomber CryptBot : plus de 670 000 ordinateurs infectés ».

Bien qu’il puisse inciter les utilisateurs à installer et à utiliser des virus en se faisant passer pour des programmes authentiques, le premier vecteur de piratage qui transmet le logiciel malveillant n’est pas évident. Le suffixe « Notion-7.0.6.dmg », qui indique qu’il a été diffusé en tant que programme de prise de notes bien connu, apparaît sur l’artefact Atomic stealer signalé à VirusTotal le 24 avril 2023. Les formats de distribution« Photoshop CC 2023.dmg » et « Tor Browser.dmg » sont utilisés par d’autres virus découverts par la MalwareHunterTeam.

Le virus capture les informations du système, les documents, le trousseau iCloud, les données conservées dans les navigateurs internet (telles que les identifiants de connexion, le remplissage automatique, les cookies et les détails des cartes de paiement), ainsi que les plugins des portefeuilles de crypto-monnaie une fois qu’il a été exécuté. Après la compression de toutes les informations, celles-ci sont envoyées sous la forme d’un fichier ZIP compressé à un ordinateur distant, qui les transmet ensuite aux groupes Telegram déjà constitués.

Cette évolution indique que macOS devient une cible de plus en plus lucrative pour les cybercriminels. Par conséquent, les utilisateurs ne doivent télécharger et installer des logiciels qu’à partir de sites fiables, activer l’authentification à deux facteurs, examiner la politique des applications et éviter d’ouvrir des liens suspects reçus par courriel ou SMS.