Source: Trend Micro (Trend Research), septembre 2025. Dans une analyse MDR, l’éditeur décrit une campagne diffusant Atomic macOS Stealer (AMOS) qui cible les utilisateurs macOS via des sites de « crack » et des pages d’installation trompeuses, avec rotation agressive de domaines et exfiltration HTTP(S).

• Distribution et contournements. Les assaillants déguisent AMOS en faux installeurs (.dmg) de logiciels populaires « crackés » ou incitent les victimes à copier-coller des commandes dans le Terminal (curl vers un script install.sh). Les .dmg non notarés sont bloqués par Gatekeeper sur macOS Sequoia 15.5/15.6, mais la méthode Terminal obtient un taux de succès élevé. Le kit emploie une rotation de domaines/URLs (redirecteurs .cfd, pages d’atterrissage et hôtes de charge utile) pour éviter les détections statiques et retarder les takedowns.

• Chaîne d’infection et persistance. Le script install.sh récupère un AppleScript “/tmp/update” exécuté via osascript, effectue des vérifications anti‑VM, collecte des artefacts, puis déploie un binaire caché .helper et un script .agent. Une LaunchDaemon (com.finder.helper.plist) maintient la persistance et exécute en boucle le binaire sous le contexte de l’utilisateur connecté (hors root). Des boîtes de dialogue demandent le mot de passe (piège d’ingénierie sociale) et l’accès de Terminal à Finder.

• Capacités et impact. AMOS vole des identifiants, cookies et données de navigateurs (Chrome, Firefox, Edge, Opera, Brave, Chromium, Vivaldi), des portefeuilles crypto, sessions Telegram, profils OpenVPN, éléments du Trousseau, Apple Notes, ainsi que des documents (txt, pdf, docx, json, db, wallet, key) depuis Desktop/Documents/Downloads. Les données sont empaquetées en /tmp/out.zip puis exfiltrées via HTTP/HTTPS avec des en‑têtes personnalisés. Pour les environnements d’entreprise, cela ouvre des risques de credential stuffing, fraude financière et mouvements latéraux.

• Observations MDR (Trend Vision One). Les alertes corrélées incluent: « Possible Credential Access from Web Browsers – macOS », « Input Capture via Password Prompt – macOS », « Possible Sensitive Information Exfiltration », « [Heuristic Attribute] Trojan Spy File Detection », « Hacking Tool Detection – Blocked ». La télémétrie montre des copies de bases SQLite de navigateurs, la création de répertoires temporaires, la compression via ditto, la persistance via launchctl, et l’exfiltration par curl -X POST.

• IOCs principaux 🔎

  • Sites de crack/redirecteurs: haxmac[.]cc; dtxxbz1jq070725p93[.]cfd, goipbp9080425d4[.]cfd, im9ov070725iqu[.]cfd, jey90080425s[.]cfd, riv4d3dsr17042596[.]cfd, x5vw0y8h70804254[.]cfd
  • Pages/hosting: ekochist[.]com, misshon[.]com (ex: …/load.*.php?call=seo4), toutentris[.]com; goatramz[.]com/get4/install.sh; letrucvert[.]com/get8/install.sh; halesmp[.]com/zxc/app
  • Exfil/C2: sivvino[.]com/contact; 45.94.47.143/contact; 45.94.47.186/contact; 45.94.47.149/api/join/ et /api/tasks/
  • Hash: SHA1 41008d8a157784dfdde11cac20653b1af2ee8cd9 (binaire .helper)
  • Artefacts: Installer_v.X.dmg; ~/.helper; ~/.agent; /Library/LaunchDaemons/com.finder.helper.plist; /tmp/out.zip; fichiers cachés .username et .pass

• TTPs observées 🛠️

  • Ingénierie sociale: faux logiciels « crackés », instructions Terminal, rotation de domaines, redirections
  • User-assisted execution: copier-coller de commandes curl/osascript pour contourner Gatekeeper
  • LOLBins macOS: osascript, curl, ditto, dscl, launchctl, chmod/chown, security
  • Persistance: LaunchDaemon (com.finder.helper.plist) appelant un script .agent en boucle
  • Evasion/anti‑analyse: détection de VM/sandbox via system_profiler
  • Collecte/exfiltration: agrégation multi-sources, compression ZIP, POST HTTP(S) avec en‑têtes personnalisés

Conclusion: Analyse de menace/MDR visant à documenter la chaîne d’infection AMOS, ses capacités d’exfiltration et les observables techniques pour la détection et la réponse.

🧠 TTPs et IOCs détectés

TTP

[‘Ingénierie sociale: faux logiciels « crackés », instructions Terminal, rotation de domaines, redirections’, ‘User-assisted execution: copier-coller de commandes curl/osascript pour contourner Gatekeeper’, ‘LOLBins macOS: osascript, curl, ditto, dscl, launchctl, chmod/chown, security’, ‘Persistance: LaunchDaemon (com.finder.helper.plist) appelant un script .agent en boucle’, ‘Evasion/anti-analyse: détection de VM/sandbox via system_profiler’, ‘Collecte/exfiltration: agrégation multi-sources, compression ZIP, POST HTTP(S) avec en-têtes personnalisés’]

IOC

{‘domains’: [‘haxmac.cc’, ‘dtxxbz1jq070725p93.cfd’, ‘goipbp9080425d4.cfd’, ‘im9ov070725iqu.cfd’, ‘jey90080425s.cfd’, ‘riv4d3dsr17042596.cfd’, ‘x5vw0y8h70804254.cfd’, ’ekochist.com’, ‘misshon.com’, ’toutentris.com’, ‘goatramz.com’, ’letrucvert.com’, ‘halesmp.com’, ‘sivvino.com’], ‘ips’: [‘45.94.47.143’, ‘45.94.47.186’, ‘45.94.47.149’], ‘hashes’: [‘41008d8a157784dfdde11cac20653b1af2ee8cd9’]}

🔗 Source originale : https://www.trendmicro.com/en_fi/research/25/i/an-mdr-analysis-of-the-amos-stealer-campaign.html