AMOS Stealer

🔍 Contexte Publié le 30 avril 2026 par l’Acronis Threat Research Unit (TRU), ce rapport documente des campagnes actives d’abus des plateformes de distribution IA Hugging Face et ClawHub (écosystème OpenClaw) pour la livraison de malwares déguisés en modèles, datasets et extensions légitimes. 🎯 Vecteurs d’attaque principaux ClawHub / OpenClaw 575 skills malveillants identifiés, distribués par 13 comptes développeurs Deux acteurs principaux : hightower6eu (334 skills, 58%) et sakaen736jih (199 skills, 35%) Ciblage cross-platform : Windows et macOS Technique clé : indirect prompt injection — des instructions malveillantes cachées dans des fichiers SKILL.md ou README poussent les agents IA à exécuter des actions malveillantes Les skills instruisent les utilisateurs à télécharger des archives protégées par mot de passe et des binaires non vérifiés depuis GitHub Hugging Face Utilisé comme infrastructure de staging dans des chaînes d’infection multi-étapes Campagne ITHKRPAW : ciblage du secteur financier et d’entités au Vietnam, usage de Cloudflare Workers pour déployer un script PowerShell dropper, payload omni-agent-v4.exe déguisé en microsoft-update-assist.exe Campagne FAKESECURITY : script batch CDC1.bat avec blob PowerShell encodé, dropper multi-étapes avec injection de processus dans explorer.exe, payload final déguisé en Windows Defender 🛠️ Techniques observées Social engineering via des noms de dépôts attractifs et README bien rédigés Obfuscation : encodage base64, XOR (clé 30 octets, clé 0xF1), chaînes déchiffrées à l’exécution In-memory execution et process injection dans explorer.exe Persistence : tâches planifiées (WindowsSystemService, RuntimeBrokerService), clés Run registry Évasion : exclusions Windows Defender, suppression Zone.Identifier (Mark-of-the-Web), mutex C2 chiffré : canal AES-CBC sur HTTPS vers velvet-parrot.com:443 Dead-drop resolver via bot Telegram (t.me/dusty_vintage) Payload macOS : script shell téléchargé depuis IP 91.92.242.30, suppression des attributs étendus (xattr -c) 🦠 Payloads identifiés AMOS Stealer : infostealer macOS vendu en MaaS via Telegram Trojan (binaire Windows packé avec VMProtect) Cryptominer : déposé comme svchost.exe / RuntimeBroker.exe Loader : ClawHub-DependencyInstaller.exe avec déchiffrement AES-CBC en mémoire RATs, infostealers, loaders divers sur Hugging Face (Windows, Linux, Android) 📌 Type d’article Il s’agit d’une publication de recherche technique produite par Acronis TRU, visant à documenter et quantifier l’abus des écosystèmes IA comme nouveaux vecteurs de distribution de malwares, avec fourniture d’IOCs exploitables. ...

🔍 Contexte Article publié le 1er avril 2026 sur le blog Objective-See par Pablo Redondo Castro, étudiant chercheur en sécurité macOS. L’analyse porte sur un échantillon de stealer macOS découvert sur une machine physique remise à l’analyste, probablement lié à la campagne AMOS Stealer. 🎯 Vecteur d’infection initial La compromission repose sur un vecteur ClickFix : une commande curl combinée à un décodage base64 et une exécution zsh est copiée-collée par la victime. Le domaine initial est Mac-force.squarespace.com, déjà observé dans des campagnes AMOS antérieures (Claude-docs, n8n). Un second domaine, rvdownloads.com, est utilisé pour télécharger un fichier binaire /tmp/helper. ...

Source et contexte: Huntress (blog, 9 décembre 2025) analyse un incident triagé le 5 décembre 2025 impliquant l’infostealer macOS AMOS livré via des résultats Google menant à de vraies conversations partagées sur ChatGPT et Grok, empoisonnées pour insérer une commande Terminal malveillante. • Chaîne d’infection: un utilisateur cherche « clear disk space on macOS », clique un résultat de conversation ChatGPT/Grok légitime et copie/colle une commande Terminal présentée comme « sûre ». Cette commande contient une URL encodée en base64 vers un script bash qui déclenche une infection multi‑étapes. Aucune alerte Gatekeeper, aucun téléchargement manuel apparent: initial access par empoisonnement SEO/IA et copier-coller dans le Terminal. ...

Source: Huntress (blog), publié le 9 décembre 2025. Contexte: analyse de menace détaillant une campagne d’AMOS (Atomic macOS Stealer) qui détourne la confiance accordée aux plateformes d’IA et aux moteurs de recherche pour livrer un infostealer sur macOS sans alerte visible. • Vecteur initial — empoisonnement SEO/IA: Des recherches banales type “clear disk space on macOS” renvoient en tête de Google vers des conversations légitimes hébergées sur chatgpt.com et grok.com. Ces chats, présentés comme des guides de nettoyage « sûrs », contiennent une commande Terminal qui, une fois copiée-collée, télécharge un loader AMOS (ex. URL décodée vers hxxps://putuartana[.]com/cleangpt). Aucune pièce jointe ou installateur malveillant, pas d’avertissement macOS: juste recherche → clic → copy/paste. ...

Source: Trend Micro (Trend Research), septembre 2025. Dans une analyse MDR, l’éditeur décrit une campagne diffusant Atomic macOS Stealer (AMOS) qui cible les utilisateurs macOS via des sites de « crack » et des pages d’installation trompeuses, avec rotation agressive de domaines et exfiltration HTTP(S). • Distribution et contournements. Les assaillants déguisent AMOS en faux installeurs (.dmg) de logiciels populaires « crackés » ou incitent les victimes à copier-coller des commandes dans le Terminal (curl vers un script install.sh). Les .dmg non notarés sont bloqués par Gatekeeper sur macOS Sequoia 15.5/15.6, mais la méthode Terminal obtient un taux de succès élevé. Le kit emploie une rotation de domaines/URLs (redirecteurs .cfd, pages d’atterrissage et hôtes de charge utile) pour éviter les détections statiques et retarder les takedowns. ...

Selon Arctic Wolf, des chercheurs ont mis au jour « GPUGate », une campagne sophistiquée visant des professionnels IT en Europe de l’Ouest via des publicités Google malveillantes menant à de faux installateurs GitHub Desktop. L’objectif apparent est l’accès initial pour le vol d’identifiants et une possible préparation au déploiement de ransomware, avec des indices pointant vers des acteurs russophones. La charge utile (≈128 Mo) se distingue par une évasion basée sur GPU : un mécanisme de déchiffrement conditionnel (« GPU-gated ») n’exécute le code que sur des machines dotées d’un GPU réel dont le nom de périphérique dépasse 10 caractères, contournant efficacement VM et sandboxes. Le binaire embarque plus de 100 exécutables factices pour brouiller l’analyse. ...