Un nouveau type de malware cible les utilisateurs de Mac en se faisant passer pour des cracks de logiciels populaires comme CleanMyMac ou Photoshop. Ce malware vole des données sensibles dans les navigateurs et siphonne les portefeuilles de cryptomonnaie. Voici comment comprendre cette menace et se protéger efficacement.
Méthodes de déguisement et d’infiltration du malware
Les chercheurs du Moonlock Lab de MacPaw ont découvert que ce malware se présente souvent sous l’apparence d’applications légitimes. Une fois installé, il utilise AppleScript pour inciter les utilisateurs à révéler leurs mots de passe. Il peut également voler les cookies des navigateurs comme Chrome et Safari et s’autodétruire s’il détecte une machine virtuelle.
Processus de vol de données
Le malware commence par obtenir le nom d’utilisateur actuel du système et d’autres chemins système essentiels. Ensuite, il crée un dossier temporaire pour stocker les données volées avant de les envoyer à l’attaquant. Il cible les navigateurs Web pour récolter des informations sensibles telles que l’historique de navigation, les cookies et les mots de passe enregistrés.
Accès aux portefeuilles de cryptomonnaie
Le malware a la capacité de trouver et d’accéder aux portefeuilles de cryptomonnaie populaires. Il vole des fichiers de portefeuille, permettant ainsi à l’attaquant d’accéder aux actifs cryptographiques de la victime. Les portefeuilles ciblés incluent Electrum, Coinomi, Exodus, Atomic Wallet, et bien d’autres.
Exfiltration des données de sécurité
Le script copie le fichier « login.keychain-db« , qui contient des données de trousseau macOS telles que les mots de passe et les informations d’identification sensibles. Il récupère également les données d’Apple Notes en copiant le fichier « NoteStore.sqlite » et ses fichiers associés.
Évolution du malware
Ce malware est une variante de « Atomic Stealer« . Initialement identifié en 2023, Atomic Stealer a évolué pour devenir plus difficile à détecter. Il se cache dans les téléchargements de logiciels illégitimes et pénètre dans MacOs suite à une erreur de l’utilisateur, restant caché grâce à des scripts pendant qu’il vole des données sensibles.
Le malware cible une large gamme de portefeuilles de cryptomonnaie, incluant notamment :
- Atomic Wallet
- Binance
- Bitcoin Core
- Electrum
- Electrum-LTC
- Electron Cash
- Coinomi
- Dash Core
- Dogecoin Core
- Exodus
- Ledger Live
- Litecoin Core
- Monero (Feather)
- TonKeeper
- Wasabi Wallet
Ces portefeuilles couvrent plusieurs types de cryptomonnaies populaires, rendant le malware particulièrement dangereux pour une large base d’utilisateurs.
Mesures de protection pour les utilisateurs Mac
Pour se protéger contre Atomic Stealer, les utilisateurs de Mac doivent adopter des mesures proactives :
-
Téléchargement de sources officielles :
Toujours télécharger des logiciels depuis le site officiel ou le Mac App Store. Évitez les sites tiers proposant des versions crackées ou piratées.
-
Vérification des URL :
Inspecter les URL pour détecter des irrégularités telles que des fautes d’orthographe ou des caractères inhabituels. Assurez-vous que le site est légitime avant de télécharger quoi que ce soit.
-
Mises à Jour Régulières :
Maintenir macOS et toutes les applications installées à jour pour se protéger contre les vulnérabilités connues.
-
Utilisation de Gatekeeper :
Utiliser Gatekeeper, une fonctionnalité intégrée de Mac OS, qui garantit que seules les applications signées et fiables peuvent être installées.
-
Prudence Face aux Liens Suspects :
Éviter de cliquer sur des liens suspects ou de télécharger des pièces jointes provenant de sources inconnues. Les cybercriminels utilisent souvent des tactiques de phishing pour propager des logiciels malveillants.
Voir aussi : L’aventure de DASH dans le paysage mondial des cryptomonnaies
La vigilance et la prudence sont essentielles pour éviter les pièges tendus par des malwares sophistiqués comme Atomic Stealer. En adoptant des pratiques de téléchargement sûres et en restant informés des dernières menaces, les utilisateurs de Mac peuvent se protéger efficacement contre ces attaques insidieuses.
