Et voilà, ça recommence. Le malware AMOS pour Mac est de retour, et cette fois-ci, il se déguise. Les sinistres individus à l'origine de cette attaque ont décidé d'usurper l'identité de Loom, la célèbre application d'enregistrement d'écran qui compte plus de 20 millions d'utilisateurs.
Et devinez quoi ? Ils utilisent Google Ads pour attirer des victimes, ce qui donne à cette opération une apparence on ne peut plus légitime. Leur plan ? Inciter des utilisateurs non avertis à télécharger une fausse version de Loom depuis un site web frauduleux.
Des chercheurs du laboratoire Moonlock signalent que cette dernière version clone également des applications de portefeuilles crypto légitimes, comme Ledger Live. En effet, le logiciel malveillant AMOS remplace ces applications de confiance par des clones malveillants.
Une fois sur votre Mac, c'est la fin. Vos portefeuilles crypto, vos données de navigation, vos mots de passe : tout est à portée de main. Le groupe à l'origine de cette attaque, probablement nommé « Crazy Evil », semble bien organisé et lié à des réseaux cybercriminels russes.
Les gens cliquaient sur ces publicités, pensant obtenir le produit authentique, et au lieu de cela, ils étaient redirigés vers un site douteux appelé smokecoffeeshop[.]com.
À partir de là, les choses ont pris une tournure encore plus étrange. Les victimes se retrouvaient sur un site web qui ressemblait trait pour trait à celui de Loom, mais il s'agissait d'un piège. Un clic sur le bouton de téléchargement, et hop ! leur Mac était infecté par le nouveau voleur de données AMOS.
Il s'agit d'un produit sophistiqué vendu au marché noir. Sa location peut coûter jusqu'à 3 000 $ par mois. Pourquoi un tel prix ? Parce que ce logiciel est ultra-performant. Il vole des fichiers, récupère l'historique de navigation, s'emparedent, vide vos portefeuilles de cryptomonnaies… bref, il fait tout le travail.
C'est du logiciel malveillant de première qualité, les amis.
Ils ont également cloné d'autres applications : Figma, TunnelBlick (un VPN), Callzy, et même un cas bizarre appelé BlackDesertPersonalContractforYouTubepartners[.]dmg.
Moonlock a trouvé des indices sur le dark web reliant Crazy Evil à cette campagne. Ils sont tombés sur une annonce de recrutement cherchant des personnes pour rejoindre une équipe utilisant — vous l'aurez deviné — le voleur AMOS.
Cette publicité se vantait même de sa capacité à remplacer « Ledger » sur macOS, confirmant que la même version d'AMOS que l'on trouvait sur le marché était promue par ces individus, qui se faisaient passer pour Loom.
Des recherches plus approfondies ont révélé une adresse IP liée à ce désordre : 85[.]28[.]0[.]47. Lorsque Moonlock a analysé cette adresse IP avec VirusTotal, un site qui vérifie les logiciels malveillants, il a signalé 93 fichiers comme malveillants.
Et tenez-vous bien : ces fichiers étaient liés à une entité gouvernementale russe. Coïncidence ? Peut-être, mais probablement pas. Le fournisseur d’accès Internet (FAI) de l’adresse IP était Gorodskaya elektronnaya svyaz Ltd, alias Gesnet[.]ru, une société russe.
Gesnet semble gérer un vaste réseau, mais bonne chance pour trouver des informations détaillées à leur sujet. Le marché russe des fournisseurs d'accès à Internet est pour le moins opaque, avec des lois strictes qui rendent la transparence quasi impossible pour les observateurs extérieurs.
Pour l'instant, la meilleure défense reste l'attaque. Restez vigilant, ne cliquez pas sur les publicités douteuses et, par pitié, surveillez vos applications.
