Après sa recherche sur la porte dérobée Trojan.MAC.RustDoor, Bitdefender met en garde ce jour contre une nouvelle campagne cybercriminelle ciblant spécifiquement MacOS et publie les indicateurs de compromission. Alerte de sécurité.
- Lors des vérifications de routine, une nouvelle variante d’AMOS (Atomic) Stealer a été découverte par Bitdefender, qui reste encore actuellement sous le radar.
- Le malware s’attaque aux informations stockées dans le navigateur et aux fichiers spéciaux du système, mais utilise également des tactiques pour voler le mot de passe du compte utilisateur local.
- Cette nouvelle version présente des similitudes avec la seconde variante de RustDoor documentée il y a quelques jours.
- L’analyse du script a révélé une technique intéressante et peu courante, le logiciel malveillant combine des codes Python et Apple Script pour atteindre ses objectifs et semble tenter d’identifier l’exécution en bac à sable ou en émulateur.
Cette famille de malware a été documentée pour la première fois début 2023 et constitue l’une des menaces les plus répandues pour les utilisateurs de macOS au cours de l’année passée.
Chaque DMG contient un binaire FAT avec 2 fichiers pour chaque architecture ( Intelet ARM), qui se comportent comme des injecteurs et ne sont pas directement responsables du vol de données ou de l’exfiltration des informations collectées. Lorsqu’il clique sur le fichier DMG, l’utilisateur est invité à faire un clic droit, puis à ouvrir l’application “Crack Installer“, qui est incluse dans l’image disque. Il s’agit d’une tactique courante utilisée par les acteurs malveillants pour contourner les mécanismes de sécurité d’Apple (cela permettra à l’utilisateur d’ouvrir l’application même si elle n’est pas signée numériquement).
Lorsque le Crack Installerest ouvert, le binaire intégré dépose un script Python sur le disque au niveau du chemin /var/tmp/olx et l’exécute. Le contenu du script XOR-ed est initialement stocké dans la __constsection du binaire, d’où il est décodé et déposé sur le disque.
Le script Python déposé sur le disque vise à collecter des données sensibles provenant de plusieurs sources puis à les envoyer au serveur C2. Ses capacités incluent la collecte des éléments suivants :
- Fichiers associés aux extensions et applications de portefeuille crypto installées
- Données du navigateur (mots de passe, cookies, données de connexion, données de formulaires, données de profils, etc.)
- Fichiers avec des extensions ciblées des répertoires Desktop et Documents
- Informations relatives au matériel et au système
- Le mot de passe du compte utilisateur local
La première action effectuée par le script est d’obtenir le mot de passe de l’utilisateur en affichant une fausse boîte de dialogue se faisant passer pour le système d’exploitation. Sous prétexte d’une mise à jour du système, le malware demande le mot de passe du compte local de l’utilisateur. Cette technique est typique des variantes d’Atomic Stealer apparues ces derniers mois. Si le mot de passe est correct, il est écrit dans un fichier appelé psw.
L’étude Bitdefender détaillée de cette alerte de sécurité MacOS est disponible ici.