Initialement conçu pour voler des mots de passe et des portefeuilles crypto, Atomic macOS Stealer passe à la vitesse supérieure. Sa dernière version embarque désormais une backdoor capable d’assurer un contrôle à distance prolongé de l’appareil infecté. Et elle circule déjà.
- Atomic macOS Stealer, initialement un voleur de mots de passe, intègre désormais une backdoor pour un contrôle prolongé.
- Le malware se propage via des logiciels crackés et des campagnes de phishing, ciblant notamment les utilisateurs de cryptomonnaies.
- Pour se protéger, évitez les logiciels douteux et méfiez-vous des demandes de mots de passe inhabituelles.
Documenté pour la première fois en avril 2023, Atomic macOS Stealer s’est rapidement imposé comme l’un des malwares les plus actifs ciblant les utilisateurs et utilisatrices de Mac. Distribué en tant que service (MaaS), ce stealer déjà connu pour s’attaquer aux portefeuilles crypto circule actuellement dans plus de 120 pays, dont la France, les États-Unis, le Royaume-Uni, l’Italie ou encore le Canada. Aujourd’hui, il revient dans une version nettement plus inquiétante, enrichie d’une backdoor persistante capable de maintenir un accès distant complet sur les machines infectées. Une évolution majeure pour cet infostealer opportuniste, désormais promu au rang d’agent infiltré longue durée.
Un voleur de données devenu espion résidant
Jusqu’ici, AMOS opérait à la manière d’un malware relativement classique, à savoir vol de données, exfiltration vers un serveur distant, rideau. Mais la dernière version analysée par Moonlock (l’unité cybersécurité de MacPaw) introduit une rupture stratégique : l’ajout d’une backdoor vouée à transformer le stealer en plateforme de compromission longue durée.
Une fois exécuté – généralement par le biais d’un logiciel cracké ou d’une campagne de phishing ciblée – AMOS déploie maintenant deux fichiers cachés dans votre dossier personnel. Le premier, .helper, est le programme malveillant principal : il permet aux attaquants de prendre le contrôle de la machine à distance. Le second, .agent, est un petit script qui vérifie en continu si .helper fonctionne bien, et le relance automatiquement si nécessaire. Pour assurer la persistance de l’ensemble, AMOS installe en plus une tâche système exécutée à chaque redémarrage du Mac. L’opération est réalisée avec les droits root, obtenus via une fausse invite macOS affichée au moment de l’infection.
Une fois la machine compromise, l’attaquant peut envoyer des commandes à distance, exécuter du code arbitraire, injecter de nouveaux fichiers, ou désinstaller proprement l’ensemble. Les échanges se font via des requêtes HTTP régulières, toutes les 60 secondes, vers un serveur de commande actif, avec un système d’identifiants attribués à chaque machine infectée. Rien n’empêche non plus d’ajouter un keylogger ou d’explorer la machine à la recherche de fichiers sensibles, en plus des traditionnels mots de passe et seed phrases.
Côté technique, le malware multiplie les astuces pour brouiller les pistes : obfuscation des chaînes de caractères, vérification de l’environnement pour éviter l’analyse en sandbox ou en machine virtuelle, remplacement d’applications légitimes, fichiers cachés dans le dossier utilisateur, etc. À ce stade, les outils natifs de macOS ne suffisent pas toujours à détecter l’infection, d’autant que l’exécutable final exploite des appels systèmes classiques. Pour Moonlock, il s’agit sans conteste du « niveau de risque le plus élevé observé à ce jour sur AMOS ».
Une infection toujours plus difficile à détecter, mais pas inévitable
Pour les équipes de Moonlock, ce virage vers la persistance marque une évolution logique mais préoccupante. AMOS s’inspire désormais de techniques déjà observées chez certains groupes nord-coréens, rares acteurs à avoir combiné stealer et backdoor dans des attaques ciblant macOS. Mais là où ces opérations cherchaient à extraire rapidement des données sensibles, AMOS mise sur le long terme. Par ailleurs, son modèle de distribution en tant que service (Malware-as-a-Service, MaaS) permet à des groupes cybercriminels moins expérimentés de l’intégrer facilement à leurs campagnes.
Le ciblage s’est, lui aussi, affiné. Si les premières versions du malware circulaient sur des sites de cracks, la dernière mouture vise des profils bien identifiés, notamment dans l’univers des cryptomonnaies. Les campagnes de spear phishing associées prennent la forme d’offres d’emploi, de convocations à des entretiens ou de téléchargements d’outils de visioconférence prétendument nécessaires. Et une fois le mot de passe macOS saisi dans une fausse interface, les attaquants récupèrent tous les droits nécessaires pour implanter leur malware en profondeur sur le système.
Face à ce type de menace, la meilleure manière de se protéger reste encore de faire preuve de bon sens. Ne saisissez jamais vos identifiants macOS en dehors des contextes habituels, et méfiez-vous des fenêtres d’invite qui surgissent sans raison claire. Un installateur qui réclame un mot de passe sans justification, un outil de visioconférence imposé par un contact inconnu ou un fichier reçu dans le cadre d’un prétendu entretien d'embauche doivent immédiatement vous alerter.
Les protections intégrées à macOS, comme Gatekeeper ou XProtect, jouent bien leur rôle vis-à-vis des malwares classiques, mais face à un malware abusant avant tout de la confiance des victimes, elles atteignent vite leurs limites. L’installation d’un antivirus tiers reste donc vivement recommandée, en particulier pour les profils jugés à risque : freelances, détenteurs et détentrices de cryptomonnaies, ou toute personne sollicitée en ligne dans un cadre professionnel.
Enfin, mieux vaut aussi éviter les logiciels crackés – ce qui, au passage, est illégal – qui restent des canaux de diffusion privilégiés pour ce type de menace, et rester attentif aux tentatives d’approche trop belles pour être honnêtes, dans la mesure où le vecteur d’infection repose moins sur une faille technique que sur une interaction soigneusement provoquée.
Source : Moonlock
27 juin 2025 à 09h45
