Son nom laisse peu de doutes quant à ses cibles : les ordinateurs fonctionnant avec macOS. Voilà ce que vise le logiciel malveillant AMOS, un acronyme pour Atomic macOS Stealer. Nul besoin d’être parfaitement bilingue pour deviner d’ailleurs le but de ce programme : il s’agit de dérober des informations sur la machine de la victime.
Cet AMOS est visiblement un nouveau venu dans la galaxie des malwares. Sa détection, en tout cas, date de ce printemps. Dans un billet de blog daté du 26 avril, le personnel de Cyble, une entreprise spécialisée dans la cybersécurité, dit avoir mis au jour un canal de discussion sur la messagerie Telegram dans lequel AMOS a été mis en avant.
Dérober de la crypto, des mots de passe, des données…
L’objectif de ce « stealer » est de récupérer des données de valeur sur le poste infecté. En particulier, AMOS est capable de s’attaquer portefeuilles contenant de la cryptomonnaie. Cyble cite nommément Electrum, Binance, Exodus, Atomic et Coinomi. Mais l’outil a des capacités plus étendues, lui permettant de prendre des informations ailleurs.
Cyble mentionne le mot de passe de macOS, des informations liées au système, des fichiers sur le bureau ou dans les documents de l’OS, mais aussi des mots de passe stockés dans le trousseau. Du côté des navigateurs web installés, AMOS s’avère là aussi redoutable : mots de passe, cookies, données pour préremplir les formulaires, informations de paiement sont tout autant exposés.
« L’acteur malveillant à l’origine de ce voleur améliore constamment ce logiciel malveillant et lui ajoute de nouvelles capacités pour le rendre plus efficace. La dernière mise à jour du logiciel malveillant a été mise en évidence dans le message Telegram du 25 avril, présentant ses dernières fonctionnalités », écrit Cyble dans son compte rendu.
Une capture d’écran montrant le message d’annonce associé à AMOS montre que l’outil peut puiser dans Google Chrome, Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera et OperaGX — qui sont les principaux navigateurs web. Il peut cibler des plugins liés aux cryptomonnaies et a des fonctionnalités additionnelles pour répondre à des besoins précis
Les « stealers », ou « info stealers », sont des logiciels malveillants qui font de temps à autre l’actualité. Telegram s’avère un point de passage incontournable pour s’en procurer à moindres frais. AMOS en est un exemple : l’accès au stealer est facturé 1 000 dollars par mois, ce qui peut théoriquement le mettre à portée de n’importe qui.
Cyble, qui a obtenu un échantillon d’Amos, a pu le décortiquer pour voir la manière dont il fonctionne. Parmi les observations faites par l’entreprise, il y a le constat que ce dérobeur communique avec un serveur (command-and-control server) associé à une adresse se terminant en « .ru ». Le domaine associé à la Russie. AMOS envoie les données volées à cette infrastructure.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
