Atomic Stealer
Els experts en ciberseguretat revelen que un actor d'amenaces ven un nou programari maliciós anomenat Atomic Stealer a l'aplicació de missatgeria Telegram. Aquest programari maliciós està escrit a Golang i està dissenyat específicament per orientar-se a plataformes macOS i pot robar informació sensible de la màquina de la víctima.
L'actor de l'amenaça està promocionant activament l'Atomic Stealer a Telegram, on recentment van destacar una actualització que mostra les últimes capacitats de l'amenaça. Aquest programari maliciós que roba informació presenta un risc greu per als usuaris de macOS, ja que pot comprometre la informació sensible que s'emmagatzema a les seves màquines, incloses les contrasenyes i les configuracions del sistema. Els detalls sobre l'amenaça es van revelar en un informe d'investigadors de programari maliciós.
Atomic Stealer posseeix una àmplia gamma de capacitats amenaçadores
L'Atomic Stealer té diverses funcions de robatori de dades que permeten als seus operadors penetrar més profundament en el sistema objectiu. Quan s'executa el fitxer dmg no segur, el programari maliciós mostra una sol·licitud de contrasenya falsa per enganyar la víctima perquè proporcioni la seva contrasenya del sistema, la qual cosa permet a l'atacant obtenir privilegis elevats a la màquina de la víctima.
Aquest és un pas necessari per accedir a informació sensible, però una actualització futura pot utilitzar-lo per canviar la configuració crucial del sistema o instal·lar càrregues útils addicionals. Després d'aquest compromís inicial, el programari maliciós intenta extreure la contrasenya Keychain, que és el gestor de contrasenyes integrat de macOS que emmagatzema informació xifrada com ara contrasenyes WiFi, inicis de sessió de llocs web i dades de targetes de crèdit.
The Atomic Stealer apunta a més de 50 criptomonedes
Un cop Atomic ha trencat una màquina macOS, pot extreure diversos tipus d'informació del programari del dispositiu. El programari maliciós s'adreça a carteres de criptomonedes d'escriptori com Electrum, Binance, Exodus i Atomic, així com a més de 50 extensions de carteres de criptomonedes, incloses Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi. i BinanceChain.
Atomic també roba dades del navegador web, com ara emplenaments automàtics, contrasenyes, galetes i informació de la targeta de crèdit de Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera i Vivaldi. A més, pot recopilar informació del sistema com el nom del model, l'UUID del maquinari, la mida de la memòria RAM, el nombre de nuclis, el número de sèrie i molt més.
A més, Atomic permet als operadors robar fitxers dels directoris "Escriptori" i "Documents" de la víctima, però primer ha de sol·licitar permís per accedir a aquests fitxers, cosa que pot oferir a les víctimes l'oportunitat de detectar l'activitat maliciosa.
Després de reunir les dades, el programari maliciós les comprimirà en un fitxer ZIP i el transmetrà al servidor d'ordres i control (C&C) de l'actor de l'amenaça. El servidor C&C està allotjat a "amos-malware[.]ru/sendlog".
Tot i que històricament macOS ha estat menys propens a activitats perjudicials que altres sistemes operatius com Windows, ara s'està convertint en un objectiu cada cop més popular per als actors d'amenaça de tots els nivells d'habilitat. Això es deu probablement al nombre creixent d'usuaris de macOS, especialment als sectors empresarials i empresarials, el que el converteix en un objectiu lucratiu per als ciberdelinqüents que busquen robar dades sensibles o obtenir accés no autoritzat als sistemes. Com a resultat, els usuaris de macOS han de mantenir-se vigilants i prendre les precaucions necessàries per protegir els seus dispositius d'aquestes amenaces.
