Une campagne d’ingénierie sociale très populaire ciblant auparavant uniquement les systèmes Windows s’est étendue et utilise désormais de fausses mises à jour de navigateur pour distribuer Atomic Stealer, un dangereux voleur d’informations, sur les systèmes macOS.
Les experts affirment que cela pourrait être la première fois qu’ils observent une arnaque d’ingénierie sociale dominante, auparavant spécifiquement destinée à Windows, passer à macOS.
Le malware, également appelé AMOS, est apparu plus tôt cette année sur une chaîne Telegram dédiée. Les criminels, qui peuvent louer le logiciel malveillant sur la base d'un abonnement pour environ 1,000 XNUMX dollars par mois, ont depuis lors utilisé divers moyens pour diffuser le logiciel malveillant. La tactique la plus courante consiste à distribuer le malware via des installateurs d'applications populaires ou via des versions prétendument crackées de Microsoft Office et d'autres applications largement utilisées.
Campagne ClearFake
Cette semaine, les chercheurs de Malwarebytes signalé avoir observé un acteur menaçant distribuant Atomic Stealer via des centaines de sites Web compromis qui proposent de fausses mises à jour pour les navigateurs Chrome et Safari. Un autre chercheur en sécurité, Randy McEoin, D'abord repéré les sites Web compromis en août et a surnommé le malware responsable de la génération des fausses mises à jour du navigateur « ClearFake ».
À l'époque, McEoin décrivait ClearFake comme un malware qui charge initialement une page normalement lorsqu'un utilisateur visite un site Web compromis, mais la remplace ensuite par une page invitant l'utilisateur à mettre à jour son navigateur. Les utilisateurs de Mac qui répondent à l'invite finissent par télécharger Atomic Stealer sur leurs systèmes, a noté le chercheur en sécurité.
"C'est peut-être la première fois que nous voyons l'une des principales campagnes d'ingénierie sociale, auparavant réservées à Windows, s'étendre non seulement en termes de géolocalisation mais aussi en termes de système d'exploitation", a déclaré Jerome Segura, chercheur chez Malwarebytes, dans un blog cette semaine.
Selon Segura, le modèle Safari proposé par un site Web compromis par ClearFake est identique à celui du site officiel d'Apple et est disponible en plusieurs langues. Il existe également un modèle pour les utilisateurs de Google Chrome pour Mac qui est très similaire à celui utilisé pour les utilisateurs de Windows, a déclaré Segura.
La charge utile pour les utilisateurs Mac est un fichier d'image disque (DMG) se faisant passer pour une mise à jour du navigateur avec des instructions pour les utilisateurs sur la façon de l'ouvrir. S'il est ouvert, le fichier demande immédiatement le mot de passe administrateur, puis exécute des commandes pour voler des données du système. Les chercheurs de Malwarebytes ont observé des commandes permettant de voler des mots de passe et de récupérer différents fichiers d'un système compromis et de les envoyer à un serveur de commande et de contrôle distant.
« Smash et Grab en un seul coup »
SentinelleOne, qui suit le malware, a décrit Atomic Stealer comme capable de voler les mots de passe de comptes, les données du navigateur, les cookies de session et les portefeuilles de crypto-monnaie. Le fournisseur de sécurité a signalé avoir vu jusqu'à 300 abonnés à Atomic Stealer sur la chaîne Telegram de l'auteur en mai 2023. Son analyse du malware a montré qu'il existait au moins deux versions d'Atomic Stealer, dont l'une était cachée dans un programme d'installation de jeu. SentinelOne a découvert cette version du malware apparemment conçue spécifiquement pour voler des informations aux joueurs et aux utilisateurs de crypto-monnaie.
L'un des comportements d'Atomic Stealer souligné par SentinelOne dans son rapport était l'absence de toute tentative du logiciel malveillant d'obtenir de la persistance sur une machine compromise. Au lieu de cela, le malware semblait s’appuyer sur ce que SentinelOne a décrit comme une « méthodologie de smash and grab en un seul coup » via l’usurpation d’AppleScript.
"Les fausses mises à jour de navigateur sont un thème courant pour les utilisateurs de Windows depuis des années", a noté Segura. Pourtant, jusqu’à la campagne ClearFake, les acteurs malveillants n’utilisaient pas ce vecteur pour distribuer des logiciels malveillants macOS. "La popularité des voleurs tels qu'AMOS rend assez facile l'adaptation de la charge utile aux différentes victimes, avec des ajustements mineurs", a-t-il déclaré.
Le nouveau malware et la nouvelle campagne ne sont que la dernière manifestation de ce que certains ont signalé comme un plus grand intérêt des acteurs malveillants pour les systèmes macOS. En août, Accenture a signalé un % D'augmentation 1,000 d’acteurs malveillants ciblant le système d’exploitation depuis 2019. Parmi eux se trouvait un attaquant qui a offert jusqu’à 1 million de dollars pour un exploit fonctionnel pour macOS, a découvert Accenture. « Ce qui est très préoccupant, c'est émergence d’acteurs établis avec une réputation positive et des budgets importants à la recherche d’exploits et d’autres méthodes qui leur permettraient de contourner les fonctions de sécurité de macOS », a déclaré Accenture.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/attacks-breaches/threat-actor-using-fake-browser-updates-to-distribute-mac-infostealer
