Les utilisateurs de Mac sont actuellement la cible d'une attaque d'envergure. Une campagne malveillante sophistiquée utilise des techniques de référencement pour propager un nuisible connu sous le nom d'Atomic.
Des dizaines d'entreprises, parmi lesquelles des éditeurs de gestionnaires de mots de passe, voient leur image usurpée dans cette opération. L'alerte est sonnée par l'équipe TIME (Threat Intelligence, Mitigation, and Escalation) de LastPass.
Le référencement, une arme à double tranchant
Les attaquants manipulent les moteurs de recherche comme Google et Bing. Grâce à des techniques de SEO (Search Engine Optimization) empoisonné, ils parviennent à hisser leurs sites frauduleux en tête des résultats.
Un utilisateur cherchant à télécharger un logiciel légitime pour son Mac, comme 1Password, LastPass, Notion, Shopify ou Thunderbird, peut alors tomber sur un lien piégé sans s'en rendre compte.
Les titres de ces pages malveillantes incluent des termes tels que « macOS », « Mac » ou « Premium on Macbook » pour maximiser leurs chances d'attirer les victimes visées.
Une mécanique de tromperie bien huilée
Une fois que l'utilisateur clique sur le lien, il est redirigé vers une fausse page GitHub imitant celle de l'éditeur officiel. C'est là que le piège se referme. La page incite la victime à copier une commande et à la coller dans le Terminal de son Mac. Un copier-coller qui ouvre la porte aux ennuis.
La méthode est conçue pour contourner la méfiance habituelle. Et afin d'échapper aux suppressions, les attaquants n'hésitent pas à créer constamment de nouveaux comptes GitHub.
« Les pages GitHub semblent être créées par plusieurs noms d'utilisateur GitHub pour contourner les suppressions », souligne ainsi LastPass.
Atomic, le voleur de données au cœur du système
La commande exécutée déclenche en réalité le téléchargement d'un fichier malveillant. Sous une apparence anodine, et par exemple une dénomination « Update », se cache Atomic autrement connu en tant que AMOS.
Disponible depuis au moins avril 2023, ce type de malware est un infostealer. Son objectif est de fouiller l'ordinateur de la victime pour y dérober un maximum d'informations sensibles : mots de passe, données de cartes bancaires et autres informations personnelles.
S'il n'y a aucune attribution, les groupes de cybercriminels derrière de telles attaques sont principalement motivés par l'appât du gain. Dans un billet de blog, LastPass publie une liste d'indicateurs de compromission en rapport avec GitHub.
