Les campagnes de malvertising, qui ont principalement ciblé les utilisateurs de Windows jusqu’à présent, évoluent. Les utilisateurs de Mac sont désormais dans la ligne de mire. Une campagne récente a été identifiée, diffusant des malwares pour Windows et Mac. La version Mac est une mise à jour du populaire malware Atomic Stealer (AMOS).
AMOS, introduit pour la première fois en avril 2023, est un voleur d’informations spécialement conçu pour Mac OS. Il se concentre principalement sur les actifs cryptographiques. Il est capable de récolter des mots de passe à partir des navigateurs et du trousseau d’Apple. De plus, il dispose d’un outil de récupération de fichiers. Le développeur a activement travaillé sur ce projet, en sortant une nouvelle version fin juin.
Méthode de distribution : Les cybercriminels utilisent des techniques astucieuses pour diffuser AMOS. Les utilisateurs qui cherchent à télécharger un nouveau programme se tournent souvent vers Google. Les acteurs malveillants exploitent cette confiance en achetant des publicités qui correspondent à des marques bien connues. Ces publicités trompent les victimes en les redirigeant vers des sites malveillants qui ressemblent à des pages officielles. Par exemple, une annonce pour la plateforme TradingView a été falsifiée pour ressembler au domain réel, échappant ainsi à la détection de Google.
Comment cela fonctionne-t-il ? Lorsqu’un utilisateur clique sur l’annonce, il est redirigé vers une page de phishing. Cette page, bien que fausse, semble authentique. Elle propose des boutons de téléchargement pour Windows, Mac et Linux. Les boutons Windows et Linux mènent à un installateur hébergé sur Discord qui installe un autre malware, tandis que le bouton Mac dirige vers le téléchargement d’AMOS le malware Atomic Stealer.
Les dangers d’AMOS : Une fois téléchargé, le fichier malveillant donne des instructions pour contourner les protections de Mac. Contrairement aux applications standard, il n’a pas besoin d’être copié dans le dossier des applications de Mac. Il est simplement monté et exécuté. L’application est signée ad-hoc, ce qui signifie qu’elle n’utilise pas un certificat Apple standard et ne peut donc pas être révoquée. Une fois exécuté, le malware insiste pour que l’utilisateur saisisse son mot de passe, créant une boucle sans fin jusqu’à ce que la victime cède.
Protection et prévention : Le malvertising est une menace croissante, exploitant la confiance des utilisateurs dans les moteurs de recherche. Il est essentiel de vérifier l’origine de tout nouveau programme avant de l’exécuter. Si vous avez cliqué sur une annonce pour télécharger une application, il est recommandé de vérifier le site officiel directement. De plus, l’utilisation d’un antivirus avec une protection en temps réel peut aider à bloquer de tels malwares.
