Atomic Stealer : ClearFake s’étend aux systèmes Mac

« C’est peut-être la première fois que nous voyons l’une des principales campagnes d’ingénierie sociale, auparavant réservée à Windows, s’étendre non seulement en termes de géolocalisation mais aussi de système d’exploitation », a déclaré Jérôme Segura, de Malwarebytes, dans une analyse publiée mardi.

Atomic Stealer (alias AMOS), documenté pour la première fois en avril 2023, est une famille de logiciels malveillants commerciaux de type « stealer » qui est vendue par abonnement au prix de 1 000 dollars par mois. Il est capable de siphonner les données des navigateurs web et des portefeuilles de crypto-monnaies.

En septembre 2023, Malwarebytes a décrit une campagne d’Atomic Stealer qui tirait parti d’annonces Google malveillantes, incitant les utilisateurs de macOS qui recherchaient une plateforme de graphiques financiers connue sous le nom de TradingView à télécharger le logiciel malveillant.

ClearFake, quant à lui, est une opération naissante de distribution de logiciels malveillants qui utilise des sites WordPress compromis pour diffuser des avis de mise à jour de navigateur web frauduleux dans l’espoir de déployer des voleurs et d’autres logiciels malveillants.
Il s’agit du dernier ajout à un groupe plus large d’acteurs de la menace tels que TA569 (alias SocGholish), RogueRaticate (FakeSG), ZPHP (SmartApeSG) et EtherHiding qui sont connus pour utiliser des thèmes liés aux fausses mises à jour de navigateur à cette fin. Depuis novembre 2023, la campagne ClearFake a été étendue pour cibler les systèmes macOS avec une chaîne d’infection quasi identique, en s’appuyant sur des sites web piratés pour livrer Atomic Stealer sous la forme d’un fichier DMG. Cette évolution montre que les logiciels malveillants de type stealer continuent de s’appuyer sur des fichiers d’installation falsifiés ou empoisonnés pour des logiciels légitimes via des publicités malveillantes, des redirections de moteurs de recherche vers des sites web malveillants, des téléchargements  » drive-by « , du phishing et de l’empoisonnement SEO pour se propager. « La popularité de voleurs tels qu’AMOS permet d’adapter facilement la charge utile à différentes victimes, avec des ajustements mineurs », a déclaré M. Segura. La divulgation fait également suite à des mises à jour du voleur LummaC2 qui utilise une nouvelle technique anti-sandbox basée sur la trigonométrie qui force le logiciel malveillant à attendre qu’un comportement « humain » soit détecté dans la machine infectée. Les opérateurs du logiciel malveillant ont également fait la promotion d’une nouvelle fonctionnalité qui, selon eux, peut être utilisée pour collecter des cookies de compte Google à partir d’ordinateurs compromis, cookies qui n’expireront pas ou ne seront pas révoqués même si le propriétaire change de mot de passe. »Cela entraînera un changement majeur dans le monde de la cybercriminalité, permettant aux pirates d’infiltrer encore plus de comptes et de mener des attaques significatives », a déclaré Alon Gal, cofondateur et directeur technique de Hudson Rock, dans une série de messages sur LinkedIn. « L’essentiel est que ces cookies semblent plus persistants et pourraient conduire à un afflux de services Google utilisés par des personnes piratées et si le changement de mot de passe n’invalide pas la session réelle, nous sommes confrontés à des problèmes beaucoup plus importants.