Une nouvelle campagne de piratage ciblant les ordinateurs Mac emploie une méthode nommée ClickFix pour propager un logiciel malveillant. Les attaquants incitent les victimes à copier et exécuter des commandes dans le Terminal, ce qui permet le téléchargement et le lancement silencieux d’un vol d’informations depuis des fichiers image disque dangereux.
Les appareils infectés reçoivent une souche de l’Atomic macOS Stealer, ou AMOS. Ce programme dérobe les mots de passe des navigateurs, les données de portefeuilles de cryptomonnaies, le contenu du Trousseau iCloud, les informations des applications de messagerie et les documents de l’utilisateur.
Les experts de Palo Alto Networks Unit 42, qui ont identifié cette campagne, expliquent qu’elle débute par une page web factice qui simule un test CAPTCHA. Cette page demande aux visiteurs d’ouvrir le Terminal et de coller une commande spécifique pour prouver qu’ils ne sont pas des robots.
Source : Palo Alto Networks Unit42
Lorsque la commande est exécutée, elle télécharge un fichier DMG depuis un serveur contrôlé par les pirates, qui utilise le domaine svs-verificationdate[.]beer. L’outil utilise la commande curl avec les paramètres « -fsSL » pour opérer discrètement et enregistre le fichier dans le répertoire /tmp sous un nom aléatoire.
Ensuite, la commande ‘hdiutil attach -nobrowse’ monte l’image disque téléchargée sans l’afficher dans le Finder ou sur le bureau. Un script recherche ensuite jusqu’à trois niveaux de répertoires pour trouver le premier fichier d’installation .app ou .pkg disponible, et le lance automatiquement avec la commande open de macOS.
Les chercheurs ont constaté que le logiciel malveillant était délivré dans une image disque nommée « s.01M0td.dmg ». Cette image montait un volume qui contenait un bundle d’application auto-signé, « NNApp.app ». Ce programme fait partie de la famille Atomic macOS Stealer, qui est conçue pour extraire les identifiants, l’historique de navigation, les jetons d’authentification et les portefeuilles de cryptomonnaies des appareils infectés.
Source : Palo Alto Networks Unit42
Une fois installé, le voleur affiche une fausse fenêtre d’authentification des Préférences Système. Cette fenêtre demande à l’utilisateur de saisir son mot de passe, ce que le logiciel malveillant enregistre.
Selon l’analyse, le programme cible huit navigateurs basés sur Chromium, comme Google Chrome, Microsoft Edge, Brave, Opera, Arc, Vivaldi, CocCoc et Yandex. Il extrait les cookies, les bases de données de connexion, les informations de remplissage automatique, les cartes de paiement enregistrées et les données des profils de navigation.
Il cible également les navigateurs dérivés de Firefox, tels que LibreWolf, SeaMonkey, Tor Browser, Waterfox et Zen Browser, pour leur prendre les mêmes données. Le logiciel recherche et vole des informations provenant de portefeuilles de cryptomonnaies comme Exodus, Electrum, Atomic Wallet, Wasabi Wallet, Bitcoin Core, Litecoin Core, DashCore, Guarda, Binance Wallet, Dogecoin Wallet et TonKeeper.
Le malware s’empare aussi des données de Telegram Desktop et Discord, des bases de données d’Apple Notes, des cookies de Safari, des fichiers de la base de données du Trousseau Apple, et des documents utilisateur avec les extensions PDF, TXT ou RTF.
Toutes les informations collectées sont ensuite compressées dans une archive ZIP et envoyées vers le serveur de l’attaquant, qui peut les récupérer. Les chercheurs ont noté un détail spécifique : le logiciel malveillant remplace les installations légitimes de Ledger Live et de Trezor Suite par des versions frauduleuses, probablement pour faciliter le vol de cryptomonnaies.
La campagne utilise des serveurs de commande et de contrôle situés sur svs-verificationdate[.]beer et l’adresse IP 196.251.107[.]171. En règle générale, les utilisateurs doivent se méfier des sites web qui leur demandent d’ouvrir le Terminal et d’exécuter des commandes, surtout si cette action est présentée comme une vérification CAPTCHA, une réparation du navigateur ou une autre étape de dépannage. Il est impératif de ne jamais exécuter une commande dont on ne comprend pas parfaitement la fonction.