Un nouveau stealer vise les machines sous macOS
Articles du même auteur :
2
3
Cyble a identifié AMOS, un logiciel dérobeur spécialisé dans les Mac, ciblant notamment les portefeuilles crypto
La société de cybersécurité Cyble a alerté, le 26 avril 2023, sur un nouveau stealer, baptisé AMOS, pour « Atomic macOS Stealer ». Sa spécificité se retrouve dans son nom : il vise les machines tournant sous macOS. Cyble a repéré un canal de discussion Telegram sur le stealer, et a pu ensuite en récupérer un échantillon pour l’analyser.
Une fois installé sur un Mac, AMOS permet aux attaquants de récupérer de multiples informations sur la machine touchée. Il infecte aussi les navigateurs Internet les plus populaires, ainsi que leurs extensions.
L’objectif numéro 1 du stealer est de récupérer des accès aux portefeuilles de cryptomonnaie, notamment Electrum, Binance, Exodus, Atomic et Coinomi. Au niveau de l’OS, AMOS peut aussi siphonner le mot de passe macOS, diverses informations système, des fichiers, ou des mots de passe stockés dans le trousseau. Du côté du navigateur, AMOS peut dérober mots de passe, cookies, données de pré-remplissage des formulaires ou informations de paiement.
Selon Cyble, ses créateurs facturent l’accès à AMOS 1 000 dollars par mois. Ils ont lancé, le 25 avril 2023, une mise à jour du malware, avec de nouvelles fonctionnalités. Les chercheurs n’ont pas identifié les administrateurs d’AMOS, mais disposent d’une piste solide sur leur origine. En analysant le stealer, Cyble a en effet remarqué qu’il envoyait les données volées sur un serveur CCS associé à une adresse en « .ru », l’identifiant de la Russie.