Atomic Stealer

Експерти по киберсигурност разкриват, че заплаха продава нов зловреден софтуер, наречен Atomic Stealer, в приложението за съобщения Telegram. Този зловреден софтуер е написан на Golang и е специално проектиран да се насочва към macOS платформи и може да открадне чувствителна информация от машината на жертвата.

Актьорът на заплахата активно рекламира Atomic Stealer в Telegram, където наскоро подчертаха актуализация, показваща най-новите възможности на заплахата. Този зловреден софтуер за кражба на информация представлява сериозен риск за потребителите на macOS, тъй като може да компрометира чувствителна информация, която се съхранява на техните машини, включително пароли и системни конфигурации. Подробности за заплахата бяха разкрити в доклад на изследователи на зловреден софтуер.

The Atomic Stealer притежава широка гама от заплашителни способности

Atomic Stealer има различни функции за кражба на данни, които позволяват на неговите оператори да проникнат по-дълбоко в целевата система. Когато опасният dmg файл се изпълни, злонамереният софтуер показва подкана за фалшива парола, за да подмами жертвата да предостави системната си парола, което позволява на атакуващия да получи повишени привилегии на машината на жертвата.

Това е необходима стъпка за достъп до чувствителна информация, но бъдеща актуализация може да я използва за промяна на важни системни настройки или инсталиране на допълнителни полезни натоварвания. След този първоначален компромис злонамереният софтуер се опитва да извлече паролата на Keychain, която е вграден мениджър на пароли в macOS, който съхранява криптирана информация като пароли за WiFi, влизания в уебсайтове и данни за кредитни карти.

The Atomic Stealer е насочен към над 50 крипто-портфейла

След като Atomic е нарушил macOS машина, той може да извлича различни видове информация от софтуера на устройството. Зловреден софтуер е насочен към настолни портфейли за криптовалута като Electrum, Binance, Exodus и самия Atomic, както и над 50 разширения за портфейли за криптовалута, включително Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi и BinanceChain.

Atomic също краде данни от уеб браузъра, като автоматично попълване, пароли, бисквитки и информация за кредитни карти от Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera и Vivaldi. Освен това може да събира системна информация като име на модела, UUID на хардуера, размер на RAM, брой ядра, сериен номер и др.

Освен това Atomic позволява на операторите да крадат файлове от директориите „Desktop“ и „Documents“ на жертвата, но първо трябва да поиска разрешение за достъп до тези файлове, което може да предостави възможност на жертвите да открият злонамерената дейност.

След като събере данните, злонамереният софтуер ще ги компресира в ZIP файл и ще ги предаде на командния и контролен (C&C) сървър на заплахата. C&C сървърът се хоства на „amos-malware[.]ru/sendlog.“

Въпреки че macOS исторически е била по-малко склонна към вредна дейност в сравнение с други операционни системи като Windows, сега тя става все по-популярна мишена за заплахи от всички нива на умения. Това вероятно се дължи на нарастващия брой потребители на macOS, особено в бизнес и корпоративния сектор, което го прави доходоносна цел за киберпрестъпници, които искат да откраднат чувствителни данни или да получат неоторизиран достъп до системи. В резултат на това потребителите на macOS трябва да останат бдителни и да вземат необходимите предпазни мерки, за да защитят устройствата си от тези заплахи.