AMOS

🔍 Contexte Publié le 6 mai 2026 par la Microsoft Defender Security Research Team, cet article documente l’évolution d’une campagne ClickFix ciblant les utilisateurs macOS, active depuis fin janvier 2026. La campagne exploite des plateformes de contenu légitimes (Medium, Craft, Squarespace) pour héberger de fausses instructions de dépannage. 🎯 Mécanisme d’infection Les victimes sont incitées à copier-coller des commandes Terminal encodées en Base64 présentées comme des utilitaires système. Contrairement aux bundles applicatifs soumis à Gatekeeper, les scripts exécutés via Terminal échappent aux vérifications de signature et de notarisation Apple. ...

🔍 Contexte Source : Kaspersky Blog (kaspersky.fr), publié le 29 mars 2026. Cet article présente les résultats d’une investigation approfondie menée par Kaspersky sur plusieurs campagnes malveillantes exploitant la popularité des outils d’intelligence artificielle. 🎯 Description de l’attaque Des acteurs malveillants diffusent des infostealers en se faisant passer pour des outils d’IA populaires via des annonces Google Ads sponsorisées. Les leurres utilisés incluent : AI Doubao (application chinoise populaire) OpenClaw (assistant IA viral) Claude Code (assistant de programmation d’Anthropic) Lorsqu’un utilisateur clique sur l’annonce malveillante, il est redirigé vers un faux site de documentation hébergé sur Squarespace (plateforme légitime), ce qui permet de contourner les filtres anti-phishing. ...

Selon BleepingComputer, une nouvelle campagne liée au malware AMOS cible les utilisateurs via des publicités Google et des conversations se présentant comme Grok ou ChatGPT. La campagne abuse des Google Search Ads pour attirer les victimes vers des conversations Grok/ChatGPT qui paraissent « utiles ». Ces échanges servent de leurre et conduisent à l’installation du voleur d’informations AMOS sur macOS. L’élément central de l’attaque est un leurre conversationnel crédible, orchestré après un premier contact via malvertising. L’issue décrite est l’infection macOS par AMOS (info-stealer). ...

Moonlock (by MacPaw) publie une analyse technique originale d’un nouvel infostealer macOS nommé Mac.c, attribué à l’acteur ‘mentalpositive’ et concurrent d’Atomic macOS Stealer (AMOS), avec un développement mené ’en public’ sur des forums clandestins. Contexte opérateur et modèle économique: ‘mentalpositive’ promeut Mac.c sur des forums russophones, sollicite des retours, et vise un modèle stealer-as-a-service (abonnement annoncé à 1 500 $/mois). Des mises à jour mettent en avant un remplacement de Ledger Live, une réduction de la taille binaire, l’optimisation d’un panneau d’administration (génération de builds, suivi des infections) et un module additionnel de phishing Trezor (1 000 $). Des canaux de contact incluent Telegram, Tox et Jabber. ...

Selon Moonlock, une campagne attribuée à des acteurs nord-coréens exploite des stealer malware visant macOS pour collecter des identités et contourner les vérifications d’antécédents, afin d’infiltrer des entreprises américaines comme « faux » travailleurs IT. Le dossier met en perspective ces activités avec de récents raids du FBI contre des « laptop farms », soulignant le lien entre cybercriminalité, espionnage et contournement des sanctions. La menace décrite repose sur l’ingénierie sociale comme vecteur principal (faux recrutements, arnaques de type ClickFix), plutôt que sur des exploits sophistiqués. Les identifiants et données personnelles volés sont réutilisés pour dépasser les contrôles RH et accéder à des postes sensibles, participant à des objectifs d’espionnage et de contournement des sanctions 🕵️‍♂️. ...

L’article publié sur le blog de PolySwarm met en lumière l’évolution significative du malware Atomic macOS Stealer (AMOS), qui intègre désormais un backdoor persistant permettant un accès à long terme aux systèmes infectés et l’exécution de commandes à distance. Cette transformation fait d’AMOS une menace persistante sophistiquée, touchant plus de 120 pays. Le malware cible principalement les détenteurs de cryptomonnaies et les freelances via des campagnes de spear phishing et la distribution de logiciels piratés, avec une activité notable aux États-Unis, au Royaume-Uni, en France, en Italie et au Canada. ...

Selon CloudSEK, une nouvelle campagne de malware a été détectée, ciblant les utilisateurs de macOS avec un logiciel malveillant connu sous le nom de Atomic macOS Stealer (AMOS). Cette campagne utilise la tactique de social engineering ClickFix pour inciter les utilisateurs à télécharger ce malware. Les attaquants exploitent des domaines de typosquatting imitant le fournisseur de télécommunications américain Spectrum pour tromper les utilisateurs. Cela montre une sophistication croissante dans l’utilisation de techniques de manipulation psychologique pour cibler des systèmes spécifiques. ...