16/12/2024

Actu CybersécuritéLogiciel - OS

La campagne ClearFake étendue pour distribuer le malware Atomic Stealer sur macOS !

Des cybercriminels cherchent à déployer le malware Atomic Stealer sur les machines sous macOS grâce à une fausse chaîne de mise à jour du navigateur surnommée ClearFake. Voici ce que l'on sait sur cette menace.

D'une part, nous avons le logiciel malveillant Atomic Stealer, appelé également AMOS, qui a été documenté pour la première fois en avril 2023 et qui a pour objectif de voler des données sur les machines infectées : c'est un malware de type info-stealer. En effet, il va notamment siphonner les données des navigateurs Web, mais également des portefeuilles de cryptomonnaies. D'ailleurs, en septembre 2023, Malwarebytes a mis en ligne une analyse qui fait référence à une campagne malveillante où les cybercriminels ont ciblé les utilisateurs de la plateforme TradingView. Enfin, il faut savoir qu'il y a un véritable business derrière ce malware puisqu'il est proposé en l'échange d'un abonnement facturé 1 000 dollars par mois.

D'autre part, nous avons ClearFake, une méthode assez récente de distribution de logiciels malveillants qui s'appuie sur des sites WordPress compromis pour diffuser de fausses mises à jour de navigateur web. Si l'utilisateur se fait piéger, ce n'est pas une mise à jour pour son navigateur qu'il récupère, mais un malware ! D'ailleurs, les cybercriminels n'hésitent pas à abuser de Google Ads pour tenter d'attirer l'attention des utilisateurs.

Vous voyez où je veux en venir ? En novembre 2023, les pirates informatiques ont eu l'idée de coupler ClearFake et Atomic Stealer afin de cibler les machines sous macOS ! Ainsi, des sites Web piratés et dont les cybercriminels ont le contrôle sont utilisés pour distribuer le malware Atomic Stealer sous la forme d'un fichier DMG malveillant.

"Le payload est destiné aux utilisateurs de Mac. Il s'agit d'un fichier DMG censé être une mise à jour de Safari ou de Chrome. Les victimes reçoivent des instructions sur la manière d'ouvrir le fichier, qui exécute des commandes immédiatement après avoir demandé le mot de passe administrateur de la machine.", précise Jérôme Segura dans un rapport mis en ligne sur le site de Malwarebytes.

ClearFake - Mise à jour safari malveillante - Novembre 2023
Source : Malwarebytes

Les fausses mises à jour de navigateurs, c'est une technique utilisée par les pirates depuis de nombreuses années. Comme on le voit ici, cette technique peut être utilisée pour déployer un malware de type info-stealer tel qu'Atomic Stealer. "La popularité de stealers tels qu'AMOS permet d'adapter facilement le payload à différentes victimes, avec des ajustements mineurs", a déclaré Jérôme Segura. Méfiance, donc.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.