La campagne ClearFake étendue pour distribuer le malware Atomic Stealer sur macOS !
Des cybercriminels cherchent à déployer le malware Atomic Stealer sur les machines sous macOS grâce à une fausse chaîne de mise à jour du navigateur surnommée ClearFake. Voici ce que l'on sait sur cette menace.
D'une part, nous avons le logiciel malveillant Atomic Stealer, appelé également AMOS, qui a été documenté pour la première fois en avril 2023 et qui a pour objectif de voler des données sur les machines infectées : c'est un malware de type info-stealer. En effet, il va notamment siphonner les données des navigateurs Web, mais également des portefeuilles de cryptomonnaies. D'ailleurs, en septembre 2023, Malwarebytes a mis en ligne une analyse qui fait référence à une campagne malveillante où les cybercriminels ont ciblé les utilisateurs de la plateforme TradingView. Enfin, il faut savoir qu'il y a un véritable business derrière ce malware puisqu'il est proposé en l'échange d'un abonnement facturé 1 000 dollars par mois.
D'autre part, nous avons ClearFake, une méthode assez récente de distribution de logiciels malveillants qui s'appuie sur des sites WordPress compromis pour diffuser de fausses mises à jour de navigateur web. Si l'utilisateur se fait piéger, ce n'est pas une mise à jour pour son navigateur qu'il récupère, mais un malware ! D'ailleurs, les cybercriminels n'hésitent pas à abuser de Google Ads pour tenter d'attirer l'attention des utilisateurs.
Vous voyez où je veux en venir ? En novembre 2023, les pirates informatiques ont eu l'idée de coupler ClearFake et Atomic Stealer afin de cibler les machines sous macOS ! Ainsi, des sites Web piratés et dont les cybercriminels ont le contrôle sont utilisés pour distribuer le malware Atomic Stealer sous la forme d'un fichier DMG malveillant.
"Le payload est destiné aux utilisateurs de Mac. Il s'agit d'un fichier DMG censé être une mise à jour de Safari ou de Chrome. Les victimes reçoivent des instructions sur la manière d'ouvrir le fichier, qui exécute des commandes immédiatement après avoir demandé le mot de passe administrateur de la machine.", précise Jérôme Segura dans un rapport mis en ligne sur le site de Malwarebytes.
Les fausses mises à jour de navigateurs, c'est une technique utilisée par les pirates depuis de nombreuses années. Comme on le voit ici, cette technique peut être utilisée pour déployer un malware de type info-stealer tel qu'Atomic Stealer. "La popularité de stealers tels qu'AMOS permet d'adapter facilement le payload à différentes victimes, avec des ajustements mineurs", a déclaré Jérôme Segura. Méfiance, donc.
