Moonlock (by MacPaw) publie une analyse technique originale d’un nouvel infostealer macOS nommé Mac.c, attribué à l’acteur ‘mentalpositive’ et concurrent d’Atomic macOS Stealer (AMOS), avec un développement mené ’en public’ sur des forums clandestins.

  • Contexte opérateur et modèle économique: ‘mentalpositive’ promeut Mac.c sur des forums russophones, sollicite des retours, et vise un modèle stealer-as-a-service (abonnement annoncé à 1 500 $/mois). Des mises à jour mettent en avant un remplacement de Ledger Live, une réduction de la taille binaire, l’optimisation d’un panneau d’administration (génération de builds, suivi des infections) et un module additionnel de phishing Trezor (1 000 $). Des canaux de contact incluent Telegram, Tox et Jabber.

  • Parenté avec AMOS: L’analyse met en évidence une forte réutilisation de fonctions entre Mac.c et AMOS (échantillons datés de juin-juillet 2025), suggérant un emprunt de code ou une origine commune. Mac.c reste plus limité: compact, non persistant et AppleScript‑centré, tandis qu’AMOS est plus avancé, persistant et modulaire.

  • Chaîne d’infection et capacités: Étape 1 (Mach‑O) daemonise le processus, redirige les flux vers /dev/null, contacte le C2 (lagkill.cc) et récupère dynamiquement un AppleScript qu’il exécute, puis exfiltre une archive /tmp/osalogging.zip. Étape 2 (AppleScript) réalise un vol de données à fort impact sans privilèges élevés: faux prompt système pour récupérer le mot de passe, usage de l’outil security pour extraire des identifiants du Trousseau iCloud, collecte de données de navigateurs (Chrome, Edge, Brave, Yandex), extensions crypto (MetaMask, Phantom, Binance Wallet…), wallets de bureau (Electrum, Exodus, Coinomi, Atomic, Monero, Wasabi, Ledger Live), artefacts Telegram (tdata), apps Binance et Ton Keeper, profil matériel via system_profiler, et file‑grabber ciblant Desktop/Documents/Downloads (.wallet, .seed, .txt, .keys, .pdf, .docx) avec limite de taille. Les données sont structurées, archivées via ditto, puis exfiltrées. Pas de persistance ni de surveillance continue, privilégiant un smash‑and‑grab furtif.

  • Marqueurs de campagne et infrastructure: Le payload affiche un leurre lié au jeu ‘Innocent Witches’ et des tags de build ‘innocent’/‘inocent’. C2 principal sur lagkill.cc; un domaine innocentwitches.top est mentionné pour la campagne, et un endpoint d’upload est observé. L’acteur enrichit progressivement la liste d’URLs C2, indiquant un écosystème souterrain en expansion visant les utilisateurs macOS et crypto. ⚠️

  • Portée et conclusion: L’article positionne Mac.c comme un exemple de professionnalisation des stealers macOS et d’une montée du marché S‑aa‑S. Malgré la nouveauté de Mac.c, AMOS reste le plus capable en l’état. Il s’agit d’une analyse de menace détaillée visant à documenter l’outillage, les TTPs et les IOCs associés.

IOCs observés:

  • URLs: https://innocentwitches[.]com/upload.php, https://lagkill[.]cc/src.php
  • Hashes (SHA256): 7dfd77f09a90d8d01a7d74a84685645622ae87a90b5dd72a5750daac9195c467; 33e9b605406ffb779dc912a1ce66436a8867b88e087bc34b2b2fca2160b64ca7; 57b86903c46cf45c968aa9618c0a45eb135e05b24c13c0d27442d4387de37319; 61f6b48e8433f6bf212c06157bead662f1833b72671b8f832ff3af032fdc4582

TTPs clés:

  • Multi‑stage loader (Mach‑O) suivi d’un payload AppleScript non persistant
  • Hameçonnage via faux prompt système pour capturer le mot de passe utilisateur
  • Abus d’outils natifs macOS: security (Trousseau), ditto (archivage), system_profiler
  • Collecte ciblée de navigateurs et extensions crypto, wallets de bureau, messageries et fichiers sensibles
  • Exfiltration HTTP(S) vers C2 avec identifiants de build et archivage standardisé

Type d’article: analyse de menace technique centrée sur un infostealer macOS et son écosystème.

🧠 TTPs et IOCs détectés

TTP

[‘Multi-stage loader (Mach-O) suivi d’un payload AppleScript non persistant’, ‘Hameçonnage via faux prompt système pour capturer le mot de passe utilisateur’, ‘Abus d’outils natifs macOS: security (Trousseau), ditto (archivage), system_profiler’, ‘Collecte ciblée de navigateurs et extensions crypto, wallets de bureau, messageries et fichiers sensibles’, ‘Exfiltration HTTP(S) vers C2 avec identifiants de build et archivage standardisé’]

IOC

{‘urls’: [‘https://innocentwitches[.]com/upload.php’, ‘https://lagkill[.]cc/src.php’], ‘hashes’: [‘7dfd77f09a90d8d01a7d74a84685645622ae87a90b5dd72a5750daac9195c467’, ‘33e9b605406ffb779dc912a1ce66436a8867b88e087bc34b2b2fca2160b64ca7’, ‘57b86903c46cf45c968aa9618c0a45eb135e05b24c13c0d27442d4387de37319’, ‘61f6b48e8433f6bf212c06157bead662f1833b72671b8f832ff3af032fdc4582’]}

🔗 Source originale : https://hackernoon.com/macc-stealer-takes-on-amos-a-new-rival-shakes-up-the-macos-infostealer-market