Atomic macOS Stealer évolue : Un backdoor persistant menace les utilisateurs de Mac

07/07/2025 18:24

Technology Security Malware Cybersecurity Cryptocurrency
Atomic macOS infostealer adds backdoor for persistent attacks

Atomic macOS Stealer évolue : Un backdoor persistant menace les utilisateurs de Mac

Une nouvelle version du logiciel malveillant Atomic macOS Stealer (AMOS), équipée d'une porte dérobée, a été découverte par des analystes en cybersécurité. Cette mise à jour permet aux attaquants d'exécuter des commandes à distance, de maintenir un accès persistant même après redémarrage, et de contrôler indéfiniment les systèmes infectés. L'équipe Moonlock de MacPaw a analysé cette menace après une alerte du chercheur indépendant g0njxa, spécialiste des logiciels voleurs de données.

Les campagnes d'AMOS ont déjà touché plus de 120 pays, avec les États-Unis, la France, l'Italie, le Royaume-Uni et le Canada parmi les plus affectés. Cette version backdoorée pourrait donner un accès total à des milliers d'appareils Mac dans le monde. Atomic Stealer, documenté pour la première fois en avril 2023, est proposé comme un service (MaaS) sur Telegram pour 1000$ par mois.

Initialement diffusé via des sites de logiciels crackés, Atomic cible désormais les propriétaires de cryptomonnaies via des attaques de phishing ciblées et de fausses offres d'emploi. La nouvelle version utilise des LaunchDaemons pour persister après redémarrage, suit les victimes par ID, et dispose d'une infrastructure de commande et contrôle améliorée.

Le composant backdoor, nommé '.helper', est caché dans le répertoire personnel de l'utilisateur. Un script '.agent' le relance en boucle, tandis qu'un LaunchDaemon (com.finder.helper) assure son exécution au démarrage. Le malware vole les mots de passe pour obtenir des privilèges élevés et modifier les propriétés des fichiers système.

Les attaquants peuvent ainsi exécuter des commandes, enregistrer les frappes au clavier, ou déployer des charges supplémentaires. Pour éviter la détection, le malware vérifie les environnements virtualisés et utilise l'obfuscation de chaînes. Cette évolution montre que les utilisateurs Mac sont devenus des cibles de choix pour des campagnes de plus en plus sophistiquées.

Atomic macOS Stealer nâng cấp nguy hiểm: Cài sẵn backdoor tấn công dai dẳng

Phiên bản mới của phần mềm độc hại Atomic macOS Stealer (AMOS) đã được trang bị backdoor, cho phép tin tặc duy trì quyền kiểm soát vĩnh viễn trên các hệ thống bị xâm nhập. Phát hiện này được công bố bởi các chuyên gia an ninh mạng vào ngày 7/7/2025, sau khi phân tích từ bộ phận Moonlock của MacPaw dựa trên cảnh báo từ nhà nghiên cứu độc lập g0njxa.

AMOS đã tấn công hơn 120 quốc gia, trong đó Mỹ, Pháp, Italy, Anh và Canada chịu ảnh hưởng nặng nề nhất. Phiên bản backdoor này có khả năng chiếm quyền điều khiển hàng nghìn thiết bị Mac toàn cầu. Atomic Stealer xuất hiện từ tháng 4/2023, được rao bán dưới dạng dịch vụ (MaaS) trên Telegram với giá 1.000$/tháng.

Từ các trang phần mềm crack, Atomic chuyển hướng sang lừa đảo có chủ đích nhắm vào chủ ví tiền mã hóa và ứng viên tìm việc tự do. Phiên bản mới sử dụng LaunchDaemons để tồn tại sau khi khởi động lại, theo dõi nạn nhân qua ID, và nâng cấp hạ tầng điều khiển.

Backdoor '.helper' được tải xuống và ẩn trong thư mục cá nhân. Script '.agent' chạy nó liên tục, trong khi LaunchDaemon (com.finder.helper) đảm bảo khởi động cùng hệ thống. Phần mềm độc hại đánh cắp mật khẩu để leo thang đặc quyền và thay đổi quyền sở hữu tệp hệ thống.

Tin tặc có thể thực thi lệnh từ xa, ghi lại thao tác bàn phím hoặc cài thêm mã độc. Để tránh bị phát hiện, backdoor kiểm tra môi trường ảo hóa và làm mờ chuỗi lệnh. Sự tiến hóa của Atomic chứng tỏ người dùng macOS đang trở thành mục tiêu hấp dẫn với những chiến dịch tinh vi hơn.

Retour Source originale

Articles connexes

MyPillow CEO’s lawyers fined for AI-generated court filing in Denver defamation case
Avocats du PDG de MyPillow condamnés à une am...

07/07/2025

Lire plus
The End of the Stock Market As We Know It
La Fin de la Bourse Telle Que Nous la Connais...

07/07/2025

Lire plus
Trump donor scammed out of $40k in crypto after someone pretending to be Steve Witkoff allegedly sent an eerily convincing email
Escroquerie cryptographique : Un donateur de ...

07/07/2025

Lire plus
NotebookLM's AI Superpower Is Its Flexibility. Here's How to Get Started With It
NotebookLM : La Puissance de l'IA Réside dans...

07/07/2025

Lire plus
Master WebRTC: From Media Capture to Peer Connection
Maîtriser WebRTC : De la Capture Média aux Co...

07/07/2025

Lire plus
Leak reveals Apple Maps in iOS 26 could get two unannounced new features [U]
Exclusivité : iOS 26 dévoile deux nouvelles f...

07/07/2025

Lire plus