Logiciel malveillant Atomic macOS Stealer : de quoi s'agit-il ?

Une menace évolutive sous un déguisement familier

Une autre préoccupation en matière de cybersécurité fait le tour de l'univers macOS. Atomic macOS Stealer (communément abrégé en AMOS) a été observé dans une nouvelle campagne de malware ciblant les utilisateurs Apple par le biais d'une ingénierie sociale astucieuse. Plutôt que d'utiliser la force brute ou des exploits sophistiqués, les attaquants à l'origine d'AMOS s'appuient sur la manipulation du comportement des utilisateurs, notamment sur l'exploitation de la confiance dans les expériences en ligne quotidiennes.

Cette campagne utilise une méthode trompeuse appelée « ClickFix », une tactique qui simule une vérification CAPTCHA de routine sur un site web. Les utilisateurs qui s'y conforment lancent sans le savoir une séquence malveillante qui aboutit à l'installation du logiciel malveillant AMOS sur leur appareil.

Les mécanismes derrière les logiciels malveillants

Au cœur de cette arnaque se trouve une fausse page CAPTCHA se faisant passer pour des plateformes web de confiance. Dans le cas de cette campagne, les attaquants ont imité l'image de marque de l'opérateur télécom américain Spectrum. Les utilisateurs visitant les sites frauduleux (tels que panel-spectrum.net ou spectrum-ticket.net ) se voyaient proposer de vérifier leur identité via ce qui semblait être un CAPTCHA classique.

Lorsque le CAPTCHA échoue intentionnellement, une invite suggère une méthode de « vérification alternative ». C'est là que réside le véritable danger. Les utilisateurs Mac reçoivent des instructions pour copier et exécuter une commande de terminal, apparemment inoffensive, mais qui lance un script shell demandant le mot de passe système, puis téléchargeant le logiciel malveillant AMOS.

Ce que fait AMOS une fois installé

Une fois déployé, le malware Atomic macOS Stealer commence à collecter des informations utilisateur sensibles. Il utilise des commandes macOS intégrées pour extraire les identifiants, accéder aux mots de passe enregistrés et potentiellement contourner certains mécanismes de sécurité intégrés. Ce script est non seulement invasif, mais aussi d'une simplicité trompeuse, ce qui illustre l'efficacité d'un code minimal entre les mains d'un attaquant expérimenté.

Les chercheurs ont constaté que ce logiciel malveillant incluait des commentaires rédigés en russe, suggérant l'implication de cybercriminels russophones. Cette origine internationale s'inscrit dans une tendance plus générale de la cybercriminalité, où les acteurs transfrontaliers ciblent des plateformes largement utilisées et bénéficiant d'une grande confiance des utilisateurs.

Mauvaise conception, risque élevé

Il est intéressant de noter que l'infrastructure sous-jacente à cette campagne est loin d'être parfaite. Les analystes ont souligné de nombreuses incohérences dans la logique et la présentation des pages de diffusion des logiciels malveillants. Par exemple, des instructions incohérentes selon les plateformes (par exemple, demander aux utilisateurs Linux d'exécuter des commandes PowerShell conçues pour Windows) et des instructions vagues ou contradictoires affichées aux utilisateurs Mac et Windows.

Ces failles suggèrent une installation bâclée, mais elles ne réduisent pas les dommages potentiels. Même une opération maladroite peut causer des dommages importants si elle incite les utilisateurs à baisser leur garde.

ClickFix : une tactique de distribution en pleine croissance

ClickFix n'est pas exclusif à cette campagne AMOS. Il s'agit d'une méthode de diffusion de malware plus large, qui gagne en popularité grâce à son adaptabilité et sa simplicité. En imitant des systèmes CAPTCHA ou des bannières de consentement aux cookies, les attaquants incitent les utilisateurs à exécuter eux-mêmes des scripts malveillants. Il s'agit d'une astuce psychologique : les utilisateurs sont amenés à croire qu'ils effectuent des actions normales alors qu'en réalité, ils compromettent leurs appareils.

Des entreprises de sécurité comme Darktrace et Cofense ont signalé une forte augmentation de ce type d'attaques en Europe, au Moyen-Orient, en Afrique et en Amérique du Nord. D'autres campagnes utilisant ClickFix ont diffusé un large éventail de logiciels malveillants, allant de logiciels de vol comme PureLogs et Lumma à des chevaux de Troie d'accès à distance comme NetSupport RAT .

Pourquoi les utilisateurs y succombent

Le succès de cette tactique repose en partie sur ce que les experts en cybersécurité appellent la « fatigue de vérification ». Les utilisateurs modernes sont tellement habitués aux fenêtres contextuelles, aux CAPTCHA et aux invites routinières qu'ils cliquent souvent dessus sans y prêter attention. Les attaquants exploitent ce comportement conditionné en intégrant des pièges à des processus apparemment standards.

Les copies au pixel près de pages CAPTCHA provenant de services comme Google reCAPTCHA ou Cloudflare Turnstile ne font qu'accroître leur crédibilité. Dans certains cas, les attaquants ont même injecté ces fausses vérifications dans des sites web légitimes mais compromis, ajoutant ainsi une couche de tromperie supplémentaire.

Ce que cela signifie pour la sécurité de macOS

Pendant des années, les utilisateurs de macOS se sont sentis relativement à l'abri des logiciels malveillants par rapport à leurs homologues Windows. Des campagnes comme celle déployant AMOS rappellent qu'aucun système n'est à l'abri, surtout lorsque le maillon faible est le comportement humain. Grâce à l'ingénierie sociale, les attaquants n'ont pas besoin de trouver des vulnérabilités dans le système d'exploitation ; il leur suffit que les utilisateurs suivent les instructions.

Les implications sont vastes. Elles soulignent la nécessité d'une sensibilisation des utilisateurs, de défenses spécifiques à chaque plateforme et le défi permanent de distinguer les actions légitimes des stratagèmes trompeurs.

Réflexions finales

Bien que macOS offre de solides protections intégrées, elles ne sont efficaces que si les utilisateurs sont prudents quant à ce qu'ils exécutent sur leur système. Il est conseillé d'éviter d'exécuter des commandes inconnues dans le Terminal, de vérifier l'authenticité des URL et de se méfier de tout site web qui les invite à vérifier leur identité de manière inhabituelle.

Face à l'évolution constante des campagnes de malwares comme AMOS, rester informé est l'une des meilleures défenses. Être informé est non seulement synonyme de pouvoir, mais aussi de protection.

Par Willa
June 9, 2025
Mac Malware
Français
June 9, 2025
Mac Malware

Articles Populaires

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 2 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 9 months

Comprendre et atténuer la menace de W32.AIDetectMalware

Il y a 11 months

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 12 months

Programme:Win32/Wacapew.C!ml : un examen plus approfondi de la...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 2 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.