Des chercheurs en cybersécurité ont identifié une version mise à jour d’un voleur d’informations macOS appelé Atomique (ou AMOS), ce qui indique que les auteurs de la menace derrière le logiciel malveillant améliorent activement ses capacités.
« Il semble qu’Atomic Stealer ait été mis à jour vers la mi-décembre 2023, où ses développeurs ont introduit le cryptage des charges utiles dans le but de contourner les règles de détection », Jérôme Segura de Malwarebytes. dit dans un rapport de mercredi.
Atomic Stealer est apparu pour la première fois en avril 2023 pour un abonnement mensuel de 1 000 $. Il est capable de collecter des informations sensibles sur un hôte compromis, notamment les mots de passe du trousseau, les cookies de session, les fichiers, les portefeuilles cryptographiques, les métadonnées du système et le mot de passe de la machine via une fausse invite.
Au cours des derniers mois, des logiciels malveillants ont été observés se propageant via des publicités malveillantes et des sites compromis sous couvert de mises à jour légitimes de logiciels et de navigateurs Web.
La dernière analyse de Malwarebytes montre qu’Atomic Stealer est désormais vendu pour un prix de location élevé de 3 000 $/mois, les acteurs organisant une promotion coïncidant avec Noël, proposant le malware à un prix réduit de 2 000 $.
En plus d’intégrer le cryptage pour contrecarrer la détection par les logiciels de sécurité, les campagnes distribuant Atomic Stealer ont subi un léger changement, dans lequel les annonces de recherche Google usurpant l’identité de Slack sont utilisées comme conduits pour déployer Atomic Stealer ou un chargeur de malware appelé EugenLoader (alias FakeBat) en fonction du système d’exploitation.
Il convient de noter qu’une campagne de publicité malveillante repérée en septembre 2023 a exploité un site frauduleux pour la plate-forme de cartographie TradingView afin de fournir NetSupport RAT, s’il est visité depuis Windows, et Atomic Stealer, si le système d’exploitation est macOS.
Le fichier d’image disque Slack (DMG) malveillant, lors de son ouverture, invite la victime à saisir son mot de passe système, permettant ainsi aux acteurs malveillants de collecter des informations sensibles dont l’accès est restreint. Un autre aspect crucial de la nouvelle version est l’utilisation de l’obscurcissement pour dissimuler le serveur de commande et de contrôle qui reçoit les informations volées.
« Alors que les voleurs restent une menace majeure pour les utilisateurs de Mac, il est important de télécharger des logiciels à partir d’emplacements fiables », a déclaré Segura. « Les publicités malveillantes et les sites leurres peuvent cependant être très trompeurs et il suffit d’une seule erreur (saisir votre mot de passe) pour que le malware collecte et exfiltre vos données. »