Ah, macOS. Ce petit bijou de design, de fluiditĂ©, de sĂ©curitĂ©… Enfin, de sĂ©curitĂ© supposĂ©e. Car pendant que certains utilisateurs dâApple sâĂ©merveillent encore devant le bruit des touches du clavier papillon, dâautres se rĂ©veillent avec un backdoor bien au chaud dans leur systĂšme. AMOS (Atomic macOS Stealer), le malware qui a compris que les utilisateurs mac ne lisent pas les alertes de sĂ©curitĂ©, vient de se doter dâun joli petit appendice : une porte dĂ©robĂ©e persistante.
đŠ Mais dâabord, câest quoi AMOS ?
AMOS, pour Atomic macOS Stealer, câest un malware tout droit sorti de lâimagination fertile des cybercriminels spĂ©cialisĂ©s dans les systĂšmes Apple. Lâoriginal a fait surface pour la premiĂšre fois en avril 2023, vendu en tant que Malware-as-a-Service (MaaS) pour la modique somme de 1 000 $ par mois sur des forums russes. Oui, un abonnement. Comme Netflix, mais pour voler vos mots de passe.
Son objectif ? Voler tout ce qui bouge :
- Mots de passe,
- Données iCloud,
- Crypto-wallets (au revoir Metamask, au revoir Exodus),
- Et mĂȘme les donnĂ©es de remplissage automatique de vos navigateurs.
AMOS se diffusait principalement via des fichiers .dmg piĂ©gĂ©s, souvent masquĂ©s derriĂšre des installations dâoutils populaires ou des cracks de logiciels bien juteux (coucou les versions « gratuites » de Final Cut Pro sur les torrents douteux).
Pendant un moment, Apple sâest fĂ©licitĂ© de sa rĂ©activitĂ© : les versions dâAMOS Ă©taient rĂ©guliĂšrement dĂ©tectĂ©es, notarisation bloquĂ©e, et les signatures rĂ©voquĂ©es. Bravo. Sauf que voilĂ , lâĂ©quipe derriĂšre AMOS ne dort jamais, et surtout, elle sâamĂ©liore. Pas comme le systĂšme de mise Ă jour silencieuse dâXProtect, qui met parfois des jours Ă rĂ©agir.
đ Juillet 2025 : AMOS revient… avec une clĂ© sous le paillasson
Dans la derniĂšre version repĂ©rĂ©e le 7 juillet 2025, un analyste malware vigilant a dĂ©couvert que lâinfo-stealer nâĂ©tait plus seulement un voleur opportuniste, mais dĂ©sormais un squatteur professionnel. Il embarque dĂ©sormais un backdoor intĂ©grĂ©, permettant Ă lâattaquant un accĂšs persistant au systĂšme infectĂ©.
Traduction : mĂȘme si vous redĂ©marrez, mĂȘme si vous pensez avoir supprimĂ© le fichier infectĂ©, mĂȘme si vous ĂȘtes le genre de personne qui vide la corbeille trois fois par jour… lâattaquant est toujours lĂ . Il peut revenir, exĂ©cuter du code Ă distance, installer dâautres saloperies, ou juste lire vos mails en sirotant son cafĂ©.
Câest un peu comme si AMOS disait :
âTu ne mâas pas juste installĂ©. Je fais partie de ta vie maintenant.â
𧩠Détails techniques (pour les maso-sécu)
La backdoor sâinstalle comme une LaunchAgent dans ~/Library/LaunchAgents, avec un nom qui fleure bon le faux utilitaire Apple (genre com.apple.help.plist, subtil nâest-ce pas ?). Une fois en place, elle exĂ©cute un script au dĂ©marrage du systĂšme, et se connecte Ă un serveur C2 (Command & Control), prĂȘt Ă exĂ©cuter des ordres malveillants.
Cerise sur le gĂąteau ? Lâagent sâassure de vĂ©rifier rĂ©guliĂšrement sa prĂ©sence, et se rĂ©installe si jamais un utilisateur curieux tente de le supprimer. Oui, comme un ex toxique qui refuse le ghosting.
đ Mais pourtant⊠« Mac câest sĂ»r, non ? »
Câest bien lĂ tout le gĂ©nie (ou lâironie) de cette affaire. AMOS ne fonctionne que sur macOS. Et il a Ă©tĂ© pensĂ© spĂ©cifiquement pour contourner les protections dâApple. Il abuse notamment :
- de la crĂ©dulitĂ© des utilisateurs (ah, ce moment oĂč on clique sur « ouvrir quand mĂȘme »),
- de lâabsence de solution EDR sĂ©rieuse par dĂ©faut sur macOS,
- de la lenteur des mises Ă jour de XProtect et Gatekeeper,
- et du fait que certains outils de sécurité tiers sont encore absents ou payants sur mac.
Spoiler alert : Non, macOS nâest pas invincible. Et ce nâest pas parce quâil y a une pomme dessus que vous ĂȘtes protĂ©gĂ©s des vers.
đĄ Leçon pour les DSI et les utilisateurs un peu naĂŻfs
- Utilisez un EDR digne de ce nom compatible macOS. Oui, ça existe.
- Bloquez les installations de logiciels non approuvés par politique de sécurité.
- Surveillez les LaunchAgents et LaunchDaemons dans vos endpoints.
- Formez vos utilisateurs. Un crack de Photoshop sur TorrentZ ne vaut pas une compromission complĂšte.
Et si vous ĂȘtes RSSI dans une boĂźte qui sâimagine que les Mac sont « hors pĂ©rimĂštre sĂ©cu », vous avez un trĂšs joli rĂ©veil qui vous attend ce lundi matin.
đ En rĂ©sumĂ© :
Vous pensiez quâun malware sur macOS câĂ©tait une lĂ©gende urbaine ? AMOS vient de prouver quâil est trĂšs rĂ©el, trĂšs tenace, et maintenant trĂšs persistant. Prochaine Ă©tape ? Un malware qui vous envoie un cafĂ© brĂ»lant au visage si vous tapez votre mot de passe admin sans rĂ©flĂ©chir.
