Atomic Stealer

Οι ειδικοί στον τομέα της κυβερνοασφάλειας αποκαλύπτουν ότι ένας παράγοντας απειλών πουλά ένα νέο κακόβουλο λογισμικό που ονομάζεται Atomic Stealer στην εφαρμογή ανταλλαγής μηνυμάτων, Telegram. Αυτό το κακόβουλο λογισμικό είναι γραμμένο σε Golang και έχει σχεδιαστεί ειδικά για να στοχεύει πλατφόρμες macOS και μπορεί να κλέψει ευαίσθητες πληροφορίες από το μηχάνημα του θύματος.

Ο ηθοποιός των απειλών προωθεί ενεργά το Atomic Stealer στο Telegram, όπου πρόσφατα τόνισαν μια ενημέρωση που παρουσιάζει τις πιο πρόσφατες δυνατότητες της απειλής. Αυτό το κακόβουλο λογισμικό κλοπής πληροφοριών παρουσιάζει σοβαρό κίνδυνο για τους χρήστες macOS, καθώς μπορεί να θέσει σε κίνδυνο ευαίσθητες πληροφορίες που είναι αποθηκευμένες στους υπολογιστές τους, συμπεριλαμβανομένων των κωδικών πρόσβασης και των διαμορφώσεων συστήματος. Λεπτομέρειες σχετικά με την απειλή αποκαλύφθηκαν σε έκθεση ερευνητών κακόβουλου λογισμικού.

Το Atomic Stealer διαθέτει ένα ευρύ φάσμα απειλητικών δυνατοτήτων

Το Atomic Stealer διαθέτει διάφορα χαρακτηριστικά κλοπής δεδομένων που επιτρέπουν στους χειριστές του να διεισδύσουν βαθύτερα στο σύστημα στόχου. Όταν εκτελείται το μη ασφαλές αρχείο dmg, το κακόβουλο λογισμικό εμφανίζει ένα μήνυμα ψεύτικο κωδικό πρόσβασης για να ξεγελάσει το θύμα ώστε να παράσχει τον κωδικό πρόσβασης του συστήματός του, κάτι που επιτρέπει στον εισβολέα να αποκτήσει αυξημένα προνόμια στον υπολογιστή του θύματος.

Αυτό είναι ένα απαραίτητο βήμα για την πρόσβαση σε ευαίσθητες πληροφορίες, αλλά μια μελλοντική ενημέρωση μπορεί να το χρησιμοποιήσει για να αλλάξει σημαντικές ρυθμίσεις συστήματος ή να εγκαταστήσει πρόσθετα ωφέλιμα φορτία. Μετά από αυτόν τον αρχικό συμβιβασμό, το κακόβουλο λογισμικό προσπαθεί να εξαγάγει τον κωδικό πρόσβασης Keychain, ο οποίος είναι ο ενσωματωμένος διαχειριστής κωδικών πρόσβασης του macOS που αποθηκεύει κρυπτογραφημένες πληροφορίες όπως κωδικούς πρόσβασης WiFi, συνδέσεις ιστότοπου και δεδομένα πιστωτικών καρτών.

Το Atomic Stealer στοχεύει πάνω από 50 Crypto-Wallets

Μόλις η Atomic παραβιάσει έναν υπολογιστή macOS, μπορεί να εξαγάγει διάφορους τύπους πληροφοριών από το λογισμικό της συσκευής. Το κακόβουλο λογισμικό στοχεύει πορτοφόλια κρυπτονομισμάτων για επιτραπέζιους υπολογιστές όπως το Electrum, το Binance, το Exodus και το ίδιο το Atomic, καθώς και πάνω από 50 επεκτάσεις πορτοφολιού κρυπτονομισμάτων, συμπεριλαμβανομένων των Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask. και BinanceChain.

Η Atomic κλέβει επίσης δεδομένα προγράμματος περιήγησης Ιστού, όπως αυτόματη συμπλήρωση, κωδικούς πρόσβασης, cookie και πληροφορίες πιστωτικών καρτών από το Google Chrome, το Mozilla Firefox, τον Microsoft Edge, το Yandex, την Opera και το Vivaldi. Επιπλέον, μπορεί να συλλέξει πληροφορίες συστήματος όπως το όνομα του μοντέλου, το UUID υλικού, το μέγεθος RAM, τον αριθμό πυρήνων, τον σειριακό αριθμό και πολλά άλλα.

Επιπλέον, το Atomic δίνει τη δυνατότητα στους χειριστές να υποκλέψουν αρχεία από τους καταλόγους "Επιφάνεια εργασίας" και "Έγγραφα" του θύματος, αλλά πρέπει πρώτα να ζητήσει άδεια πρόσβασης σε αυτά τα αρχεία, κάτι που μπορεί να δώσει την ευκαιρία στα θύματα να εντοπίσουν την κακόβουλη δραστηριότητα.

Μετά τη συλλογή των δεδομένων, το κακόβουλο λογισμικό θα το συμπιέσει σε ένα αρχείο ZIP και θα το μεταδώσει στον διακομιστή Command-and-Control (C&C) του παράγοντα απειλής. Ο διακομιστής C&C φιλοξενείται στο 'amos-malware[.]ru/sendlog.'

Ενώ το macOS ήταν ιστορικά λιγότερο επιρρεπές σε επιβλαβή δραστηριότητα από άλλα λειτουργικά συστήματα όπως τα Windows, τώρα γίνεται όλο και πιο δημοφιλής στόχος για τους παράγοντες απειλών όλων των επιπέδων δεξιοτήτων. Αυτό πιθανότατα οφείλεται στον αυξανόμενο αριθμό χρηστών macOS, ιδιαίτερα στους επιχειρηματικούς και επιχειρηματικούς τομείς, γεγονός που το καθιστά επικερδή στόχο για εγκληματίες του κυβερνοχώρου που επιδιώκουν να κλέψουν ευαίσθητα δεδομένα ή να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε συστήματα. Ως αποτέλεσμα, οι χρήστες macOS πρέπει να παραμείνουν σε επαγρύπνηση και να λαμβάνουν τις απαραίτητες προφυλάξεις για να προστατεύσουν τις συσκευές τους από αυτές τις απειλές.