Le voleur d’informations macOS connu sous le nom d’Atomic est désormais livré à la cible via une fausse chaîne de mise à jour de navigateur Web suivie sous le nom de ClearFake.
« C’est peut-être la première fois que l’on voit l’une des principales campagnes d’ingénierie sociale, jusqu’alors réservées à Windows, s’étendre non seulement en termes de géolocalisation mais aussi de système d’exploitation », estime Jérôme Segura de Malwarebytes. dit dans une analyse de mardi.
Atomic Stealer (alias AMOS), documenté pour la première fois en avril 2023, est une famille de logiciels malveillants commerciaux vendus sur la base d’un abonnement pour 1 000 $ par mois. Il est doté de capacités permettant de siphonner les données des navigateurs Web et des portefeuilles de crypto-monnaie.
Puis, en septembre 2023, Malwarebytes a détaillé une campagne Atomic Stealer qui tire parti des publicités malveillantes de Google, incitant les utilisateurs de macOS à la recherche d’une plateforme de graphiques financiers connue sous le nom de TradingView à télécharger le malware.
ClearFake, en revanche, est une opération naissante de distribution de logiciels malveillants qui utilise des sites WordPress compromis pour diffuser des notifications frauduleuses de mise à jour du navigateur Web dans l’espoir de déployer des voleurs et d’autres logiciels malveillants.
Il s’agit du dernier ajout à un plus grand nombre d’acteurs malveillants tels que TA569 (alias SocGholish), RogueRaticate (FakeSG), ZPHP (SmartApeSG) et EtherHiding, connus pour utiliser à cette fin des thèmes liés à de fausses mises à jour de navigateur.
Depuis novembre 2023, la campagne ClearFake a été étendue pour cibler les systèmes macOS avec une chaîne d’infection presque identique, en exploitant des sites Web piratés pour fournir Atomic Stealer sous la forme d’un fichier DMG.
Ce développement est un signe que les logiciels malveillants voleurs continuent de s’appuyer sur des fichiers d’installation faux ou empoisonnés pour des logiciels légitimes via des publicités malveillantes, des redirections de moteurs de recherche vers des sites Web malveillants, des téléchargements en voiture, du phishing et un empoisonnement SEO pour la propagation.
« La popularité des voleurs tels qu’AMOS rend assez facile l’adaptation de la charge utile aux différentes victimes, avec des ajustements mineurs », a déclaré Segura.
Lumma Stealer prétend avoir trouvé un moyen d’extraire les cookies Google persistants
La divulgation fait également suite à des mises à jour du voleur LummaC2 qui utilise une nouvelle technique anti-sandbox basée sur la trigonométrie qui oblige le malware à attendre qu’un comportement « humain » soit détecté sur la machine infectée.
Les opérateurs du logiciel malveillant ont également fait la promotion d’une nouvelle fonctionnalité qui, selon eux, peut être utilisée pour collecter les cookies de compte Google provenant d’ordinateurs compromis qui n’expireront pas ou ne seront pas révoqués même si le propriétaire modifie le mot de passe.
« Cela entraînera un changement majeur dans le monde de la cybercriminalité, permettant aux pirates d’infiltrer encore plus de comptes et de mener des attaques importantes », a déclaré Alon Gal, co-fondateur et directeur technique d’Hudson Rock, dans un communiqué. ensemble de des postes sur Linkedin.
« En fin de compte, ces cookies semblent plus persistants et pourraient conduire à un afflux de services Google utilisés par des personnes piratées, et si l’affirmation selon laquelle un changement de mot de passe n’invalide pas la session est vraie, nous envisageons une situation bien plus grande. problèmes. »