🔍 Contexte

Article publié le 1er avril 2026 sur le blog Objective-See par Pablo Redondo Castro, étudiant chercheur en sécurité macOS. L’analyse porte sur un échantillon de stealer macOS découvert sur une machine physique remise à l’analyste, probablement lié à la campagne AMOS Stealer.

🎯 Vecteur d’infection initial

La compromission repose sur un vecteur ClickFix : une commande curl combinée à un décodage base64 et une exécution zsh est copiée-collée par la victime. Le domaine initial est Mac-force.squarespace.com, déjà observé dans des campagnes AMOS antérieures (Claude-docs, n8n). Un second domaine, rvdownloads.com, est utilisé pour télécharger un fichier binaire /tmp/helper.

🛠️ Techniques d’obfuscation

Le fichier helper exécute deux AppleScripts obfusqués via trois fonctions mathématiques de décodage :

  • ssooouzowk() — soustraction simple
  • uyvhofylsr() — addition
  • ljmhoouy() — soustraction avec offset

Plus de 400 variables nommées gmeaaapd0 à gmeaaapd434 encodent toutes les chaînes.

🖥️ Détection de VM / Sandbox

Le premier AppleScript effectue une détection d’environnement virtualisé via system_profiler, en vérifiant la présence de chaînes QEMU, VMware, KVM dans la mémoire, et des numéros de série matériels spécifiques. Si détecté, le script se termine avec le code 100.

💀 Capacités du stealer (2e AppleScript)

  • Phishing de mot de passe : fausse boîte de dialogue système demandant le mot de passe utilisateur, validé contre le keychain système, stocké dans ~/.pwd
  • Désactivation d’outils de sécurité : Little Snitch, BlockBlock, LuLu (Objective-See)
  • Vol de données navigateurs : Chrome, Brave, Edge, Opera, Firefox — mots de passe, cookies, autofill, extensions
  • 256 extensions de wallets crypto ciblées (MetaMask, Phantom, Coinbase Wallet, Binance, OKX, etc.)
  • Vol des Apple Notes : base SQLite et médias associés
  • Extraction des mots de passe Safari via security find-generic-password
  • Vol de fichiers Desktop et Documents (.txt, .pdf, .doc, .xls, .key, etc., max 30 Mo)
  • Exfiltration vers laislivon.com/upload via curl POST d’une archive .tar.gz
  • Persistance via LaunchAgent com.apple.mdworker.plist (mimique le processus Spotlight), avec le script complet inline, RunAtLoad et KeepAlive activés

📡 Infrastructure C2

Deux domaines C2 identifiés : rvdownloads.com (nouveau, non documenté précédemment) et laislivon.com (déjà associé à des campagnes AMOS antérieures).

📄 Type d’article

Analyse technique détaillée d’un échantillon malveillant macOS, destinée à la communauté de threat intelligence et aux développeurs d’outils défensifs macOS.

🧠 TTPs et IOCs détectés

TTP

  • T1059.002 — Command and Scripting Interpreter: AppleScript (Execution)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1547.011 — Boot or Logon Autostart Execution: Plist Modification (Persistence)
  • T1543.001 — Create or Modify System Process: Launch Agent (Persistence)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1555.001 — Credentials from Password Stores: Keychain (Credential Access)
  • T1056.002 — Input Capture: GUI Input Capture (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1005 — Data from Local System (Collection)
  • T1560.001 — Archive Collected Data: Archive via Utility (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1036.004 — Masquerading: Masquerade Task or Service (Defense Evasion)

IOC

  • Domaines : laislivon.comVT · URLhaus · ThreatFox
  • Domaines : rvdownloads.comVT · URLhaus · ThreatFox
  • Domaines : mac-force.squarespace.comVT · URLhaus · ThreatFox
  • URLs : https://rvdownloads.com/curl/9e64e3b1e0547a3195541f838099fa002cf75cbc125d3bb90cd9649f8e85c602URLhaus
  • URLs : http://rvdownloads.com/frozenfix/updateURLhaus
  • URLs : https://laislivon.com/uploadURLhaus
  • Fichiers : helper
  • Fichiers : archive.tar.gz
  • Fichiers : com.apple.mdworker.plist
  • Fichiers : NoteStore.sqlite
  • Chemins : /tmp/helper
  • Chemins : /tmp/archive.tar.gz
  • Chemins : ~/Library/LaunchAgents/com.apple.mdworker.plist
  • Chemins : ~/.pwd
  • Chemins : ~/.username
  • Chemins : ~/.marker
  • Chemins : ~/.config/
  • Chemins : ~/.local/
  • Chemins : ~/Library/Group Containers/group.com.apple.notes/NoteStore.sqlite
  • Chemins : ~/Library/Group Containers/group.com.apple.notes/Media/

Malware / Outils

  • AMOS Stealer (stealer)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ⬜ objective-see.org — source non référencée (0pts)
  • ✅ 11275 chars — texte complet (15pts)
  • ✅ 20 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 3/6 IOCs confirmés (ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 18 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • laislivon.com (domain) → VT (15/94 détections)
  • rvdownloads.com (domain) → VT (17/94 détections) + ThreatFox (Unknown Stealer)
  • mac-force.squarespace.com (domain) → VT (5/94 détections)

🔗 Source originale : https://objective-see.org/blog/blog_0x88.html

🖴 Archive : https://web.archive.org/web/20260404155054/https://objective-see.org/blog/blog_0x88.html