Son nom laisse peu de doutes quant à ses cibles : les ordinateurs fonctionnant avec macOS. Voilà ce que vise le logiciel malveillant AMOS, un acronyme pour Atomic macOS Stealer. Nul besoin d’être parfaitement bilingue pour deviner d’ailleurs le but de ce programme : il s’agit de dérober des informations sur la machine de la victime.
Cet AMOS est visiblement un nouveau venu dans la galaxie des malwares. Sa détection, en tout cas, date de ce printemps. Dans un billet de blog daté du 26 avril, le personnel de Cyble, une entreprise spécialisée dans la cybersécurité, dit avoir mis au jour un canal de discussion sur la messagerie Telegram dans lequel AMOS a été mis en avant.
Dérober de la crypto, des mots de passe, des données…
L’objectif de ce « stealer » est de récupérer des données de valeur sur le poste infecté. En particulier, AMOS est capable de s’attaquer portefeuilles contenant de la cryptomonnaie. Cyble cite nommément Electrum, Binance, Exodus, Atomic et Coinomi. Mais l’outil a des capacités plus étendues, lui permettant de prendre des informations ailleurs.
Cyble mentionne le mot de passe de macOS, des informations liées au système, des fichiers sur le bureau ou dans les documents de l’OS, mais aussi des mots de passe stockés dans le trousseau. Du côté des navigateurs web installés, AMOS s’avère là aussi redoutable : mots de passe, cookies, données pour préremplir les formulaires, informations de paiement sont tout autant exposés.
« L’acteur malveillant à l’origine de ce voleur améliore constamment ce logiciel malveillant et lui ajoute de nouvelles capacités pour le rendre plus efficace. La dernière mise à jour du logiciel malveillant a été mise en évidence dans le message Telegram du 25 avril, présentant ses dernières fonctionnalités », écrit Cyble dans son compte rendu.
Une capture d’écran montrant le message d’annonce associé à AMOS montre que l’outil peut puiser dans Google Chrome, Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera et OperaGX — qui sont les principaux navigateurs web. Il peut cibler des plugins liés aux cryptomonnaies et a des fonctionnalités additionnelles pour répondre à des besoins précis
Les « stealers », ou « info stealers », sont des logiciels malveillants qui font de temps à autre l’actualité. Telegram s’avère un point de passage incontournable pour s’en procurer à moindres frais. AMOS en est un exemple : l’accès au stealer est facturé 1 000 dollars par mois, ce qui peut théoriquement le mettre à portée de n’importe qui.
Cyble, qui a obtenu un échantillon d’Amos, a pu le décortiquer pour voir la manière dont il fonctionne. Parmi les observations faites par l’entreprise, il y a le constat que ce dérobeur communique avec un serveur (command-and-control server) associé à une adresse se terminant en « .ru ». Le domaine associé à la Russie. AMOS envoie les données volées à cette infrastructure.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !