Le malware pour Mac, Atomic Stealer, évolue encore pour vous duper
Si macOS a longtemps été à l'abri des virus et autres malwares, le système d'exploitation d'Apple n'est pas infaillible et divers logiciels malveillants existent. Et Atomic macOS Stealer continue à évoluer, mois après mois, pour voler vos données.
Nous avions déjà parlé du logiciel en mai 2023 et en novembre 2023 mais un rappel est de bon ton. Atomic macOS Stealer est un programme qui tente de voler vos données et passe par un des rouages les moins sécurisés de macOS, ce qu'il y a entre la chaise et le clavier (oui, vous). Il s'attaque aux navigateurs et vise directement les portefeuilles de cryptomonnaies, un moyen rapide pour siphonner votre argent.
Intego a montré récemment que le programme essaye de nouvelles voies pour obtenir votre mot de passe, le sésame qui ouvre toutes les portes du système. Premièrement, il peut se cacher dans des images disques qui essayent de se faire passer pour des versions piratées de deux logiciels. Le premier est File Juicer, un programme capable d'extraire de nombreuses données d'un fichier quelconque ou d'une carte mémoire1, le second est Debit & Credit, une app disponible sur le Mac App Store. Dans les deux cas, ce n'est pas très perfectionné : dans l'image disque, vous verrez une application AppleApp avec des instructions.
Au lieu de vous proposer de glisser l'app dans le dossier idoine, elles demandent de faire un clic droit, puis de choisir Ouvrir, soit la méthode pour lancer une application qui n'est pas signée et donc n'a pas été vérifiée par Apple.
Dans les versions précédentes, il se cachait aussi dans de fausses mises à jour de Safari, nous l'avions expliqué, mais nos confrères expliquent que les malandrins tentent même de passer par des applications qui n'existent pas. En effet, une des images disques contient une « version Mac » (non) de Parallel, un jeu basé sur des NFT2. C'est un rien ironique de voir qu'un malware qui dérobe des informations liées aux cryptomonnaies se fait passer pour un jeu dédié aux NFT, d'ailleurs.
Un malware attaque macOS avec de fausses mises à jour de Safari ou Chrome
Un malware qui profite de Google
Intego donne deux informations importantes sur le programme. Premièrement, certains tentent de vous infecter deux fois, avec un malware qui intègre un second malware (Atomic Stealer). Ensuite, la distribution passe essentiellement par de faux sites mis en avant dans les résultats de Google à travers des publicités. Si vous avez l'habitude de taper le nom d'un site dans Google parce que vous ne vous souvenez jamais de son nom, méfiez-vous : les publicités peuvent passer devant la version légitime. La solution de base, outre taper l'URL, est d'ajouter un signet. Nos confrères indiquent que les domaines suivants sont infectés, donc à éviter : dowlosutr[.]click, farmfrnd[.]com, tarafe[.]com. Enfin, bien évidemment, la société (qui édite des antivirus) fait la publicité de ses outils, qui sont visiblement capables de détecter le programme malveillant. Et Intego en rajoute en expliquant que ses concurrents ne détectent généralement pas Atomic Stealer.
Terminons par deux recommandations basiques mais importantes : n'exécutez pas d'applications qui ne sont pas signées si vous n'êtes pas certains de leur origine et n'entrez pas votre mot de passe à tort et à travers. Dans le cas d'Atomic Stealer, il tente de simuler les fenêtres classiques de macOS, mais la copie reste assez grossière.
Atomic macOS Stealer, le malware qui vole vos données et vos cryptomonnaies
Les OS demandent trop le mot de passe admin même sans raisons. Il faudrait que ce soit exceptionnel. Pas besoin du mot de passe admin pour installer un app classique. Sur Mac c'est souvent le cas mais sous Windows c'est ancré dans le cerveau des utilisateurs depuis le début. Certains ne savent même pas que la plupart des app peuvent s'installer sans droits admin du moment que c'est dans un dossier de l'utilisateur.
@koko256
Entièrement d’accord
De plus quand on est dans l’urgence de quelque chose c’est hyper relou
Il y a vraiment des fois je ne comprends pas meme si je suis, bien évidemment, pour ces mesures de sécurité
"Si vous avez l'habitude de taper le nom d'un site dans Google parce que vous ne vous souvenez jamais de son nom, méfiez-vous : les publicités peuvent passer devant la version légitime.
La solution de base, outre taper l'URL, est d'ajouter un signet"
Pas compris… ça veut dire quoi "ajouter un signet" ?
Enregistrer l'url dans les favoris du navigateur
@ Tetaroide Bleu
Donc si j'ai bien compris, pour accéder au site sans risque, il faut l'avoir mis au préalable dans ses signets.
Or comment enregistre-t-on en général un site dans ses signets ?
En l'affichant puis en utlisant la commande "Ajouter aux signets".
Chercher l'erreur.
@ marc_os
Il suffit de "l'afficher" sans risque. Soit en tapant l'URL dans la barre d'adresse, soit en vérifiant l'URL du site proposé par le moteur de recherche avant de cliquer. Comme la démarche n'est à faire qu'une seule fois, ce n'est pas si contraignant.
"Ajouter à ses favoris", comme on disait dans le temps !
Les Macs (comme tous les OS d’Apple) sont de plus en plus nombreux. Ça attire les voleurs de données. Les cibles était plutôt sous Windows mais ça évolue et eux aussi. Le monde MacOS devient plus intéressant. Ça ira sûrement en augmentant, à l’avenir.
Je ne comprend trop pas la phrase "soit la méthode pour lancer une application qui n'est pas signée et donc n'a pas été vérifiée par Apple"
Donc si je double clic sur une app c'est pas sécurisé mais si je copie cette app dans le dossier Application c'est sécurisé ?
Si tu double clic sur une application qui n'est pas signée, macOS va t'afficher un message "Impossible d’ouvrir « ma super app », car Apple ne peut pas vérifier qu’il ne contient pas de logiciels malveillants." et elle ne va pas se lancer. Tu peux contourner cette restriction en faisant un clic droit -> ouvrir et dans ce cas tu auras aussi ce message d'avertissement mais tu auras en plus un bouton te permettant de lancer l'application malgré tout à tes risques et périls.
@AirLink : non. Dans une image disque classique, on part du principe que l'application est signée, c'est tout. La méthode habituelle est de copier l'app dans le dossier application, avec un petit mode d'emploi.
Ici, qu'elle soit dans le dossier Applications ou dans l'image disque, elle ne se lancera pas par défaut sauf en utilisant la méthode indiquée.
En imaginant que l’antivirus passe à côté du virus, est-ce que Little Snitch pourrait empêcher le virus d’uploader les données volées s’il est bien réglé pour bloquer les connexions sortantes non autorisée ? Merci
« vous n'imaginez pas ce que les personnes laissent sur des cartes mémoire d'appareils photo, par exemple. »
———-
J’ai une imagination débordante
@Pierre Dandumont
C'est malin, on veut savoir maintenant !
Je me suis fais siphonner des cryptos sur mon MetaMask il y a un mois, je vais donc creuser ce sujet aussi... J'aimerai bien comprendre comment cela s'est fait même si comme dit dans l'article c'est surement moi qui est fait une mauvaise manip à un moment...
Je continue de recevoir un code lié à mon Apple ID par sms aussi alors que j'ai rien demandé et que j'ai changé mes mots de passes deux fois...
Qu’est-que les personnes laissent sur des cartes mémoire d'appareils photo ?
Par exemple…? 🙃