Un nouveau malware macOS, Atomic (AMOS), cible activement les portefeuilles de crypto-monnaies, servant de malware de vol d'informations. Le malware est vendu sur les canaux Telegram, et bien qu'il soit en développement actif, il cible déjà plus de 50 extensions de crypto-monnaies.
Le logiciel malveillant Atomic macOS mène des campagnes actives contre les portefeuilles de crypto-monnaies.
Des chercheurs de Cyble ont identifié un nouveau logiciel malveillant voleur d'infos ciblant les appareils macOS. Identifié comme Atomique macOS Stealer (AMOS), ce logiciel malveillant infecte les systèmes macOS dans le but de voler les portefeuilles de crypto-monnaie.
Comme développé dans leur post, les acteurs de la menace derrière AMOS vendent le malware via des canaux Telegram, attirant des clients potentiels en mettant en avant ses capacités malveillantes.
Plus précisément, AMOS est un puissant logiciel malveillant de vol de données qui aide principalement l'attaquant à voler des informations aux utilisateurs de Mac.
La fonctionnalité la plus notable de ce logiciel malveillant est sa capacité à voler des données sur les crypto-monnaies dans les portefeuilles. Il inclut plus de 50 extensions de crypto-monnaies dans sa liste de cibles, notamment Exodus, Coinbase, TronLink, Trezor et Metamask, ainsi que de nombreux portefeuilles de bureau tels qu'Electrum, Binance, Exodus, et Coinomi et Atomic.
En outre, il vole également les données stockées dans les navigateurs Web, telles que les mots de passe, les informations de remplissage automatique, l'historique de navigation et les cookies. De plus, il vole également des données directement à partir du système, comme les détails du système, les mots de passe du trousseau Apple, les fichiers des dossiers et les données du bureau.
Les acteurs de la menace AMOS ne se contentent pas de vendre le logiciel malveillant au hasard, ils proposent également à leurs clients une suite complète pour gérer leurs campagnes malveillantes. Leur package comprend un panneau web pour la gestion du système cible, un brute-forcer (MetaMask) pour identifier les clés de semences ou privées, un cryptochecker, un installateur DMG, et des journaux détaillés dans Telegram.
Bien que le logiciel malveillant puisse se vanter d'avoir des fonctionnalités avancées de vol de données, il présente tout de même une limitation qui peut alarmer les utilisateurs de Mac avertis. Lorsqu'il infecte l'appareil, il tente d'accéder aux fichiers “Bureau” et “Documents” du système. Cependant, il génère une invite demandant des autorisations d'accès à l'utilisateur victime, ce qui peut alerter l'utilisateur.
Parallèlement à Cyble, un chercheur de Trellix a également partagé une analyse détaillée de ce logiciel malveillant dans un article de fil de discussion sur Twitter..
Fais-nous part de tes réflexions dans les commentaires.
