L’article publié sur le blog de PolySwarm met en lumière l’évolution significative du malware Atomic macOS Stealer (AMOS), qui intègre désormais un backdoor persistant permettant un accès à long terme aux systèmes infectés et l’exécution de commandes à distance. Cette transformation fait d’AMOS une menace persistante sophistiquée, touchant plus de 120 pays.
Le malware cible principalement les détenteurs de cryptomonnaies et les freelances via des campagnes de spear phishing et la distribution de logiciels piratés, avec une activité notable aux États-Unis, au Royaume-Uni, en France, en Italie et au Canada.
Sur le plan technique, AMOS assure sa persistance à travers un binaire caché ‘.helper’ dans le répertoire personnel de l’utilisateur et un script wrapper ‘.agent’, maintenu par un LaunchDaemon ‘com.finder.helper’ qui garantit l’exécution au démarrage. Le backdoor communique avec des serveurs C2 via des requêtes HTTP POST toutes les 60 secondes et utilise l’obfuscation de chaînes ainsi que la détection de sandbox à l’aide de commandes system_profiler.
Le malware exploite les identifiants volés pour l’élévation de privilèges et peut survivre aux redémarrages du système tout en évitant la détection grâce à diverses techniques anti-analyse.
Cet article constitue une analyse de menace détaillée, visant à informer sur les capacités accrues d’AMOS et son impact potentiel.
🔗 Source originale : https://blog.polyswarm.io/atomic-stealer-evolves
🖴 Archive : https://web.archive.org/web/20250726092135/https://blog.polyswarm.io/atomic-stealer-evolves