Atomic Stealer
کارشناسان امنیت سایبری فاش کردند که یک عامل تهدید در حال فروش بدافزار جدیدی به نام Atomic Stealer در اپلیکیشن پیام رسان تلگرام است. این بدافزار به زبان Golang نوشته شده است و به طور خاص برای هدف قرار دادن پلتفرم های macOS طراحی شده است و می تواند اطلاعات حساس را از دستگاه قربانی سرقت کند.
این بازیگر تهدید به طور فعال در حال تبلیغ Atomic Stealer در تلگرام است، جایی که اخیراً بهروزرسانی جدیدی را نشان دادهاند که آخرین قابلیتهای تهدید را به نمایش میگذارد. این بدافزار سرقت اطلاعات خطری جدی برای کاربران macOS ایجاد میکند، زیرا میتواند اطلاعات حساسی را که در دستگاههای آنها ذخیره میشود، از جمله رمزهای عبور و پیکربندیهای سیستم، به خطر بیاندازد. جزئیات این تهدید در گزارشی توسط محققان بدافزار فاش شد.
دزد اتمی دارای طیف گسترده ای از قابلیت های تهدید کننده است
Atomic Stealer دارای ویژگیهای مختلف سرقت اطلاعات است که اپراتورهای آن را قادر میسازد تا به عمق سیستم مورد نظر نفوذ کنند. هنگامی که فایل dmg ناامن اجرا میشود، بدافزار یک رمز عبور جعلی را نمایش میدهد تا قربانی را فریب دهد تا رمز عبور سیستم خود را ارائه دهد، که به مهاجم اجازه میدهد تا امتیازات بالاتری را در دستگاه قربانی به دست آورد.
این یک مرحله ضروری برای دسترسی به اطلاعات حساس است، اما ممکن است بهروزرسانی آینده از آن برای تغییر تنظیمات مهم سیستم یا نصب بارهای اضافی استفاده کند. پس از این مصالحه اولیه، بدافزار سعی میکند رمز عبور Keychain را استخراج کند، که مدیر رمز داخلی macOS است که اطلاعات رمزگذاریشده مانند رمزهای عبور WiFi، ورود به وبسایت و دادههای کارت اعتباری را ذخیره میکند.
The Atomic Stealer بیش از 50 کیف پول دیجیتال را هدف قرار می دهد
هنگامی که Atomic به یک دستگاه macOS نفوذ کند، می تواند انواع مختلفی از اطلاعات را از نرم افزار موجود در دستگاه استخراج کند. این بدافزار کیف پولهای رمزنگاری دسکتاپ مانند Electrum، Binance، Exodus، و خود Atomic و همچنین بیش از 50 افزونه کیف پول رمزنگاریشده، از جمله Trust Wallet، Exodus Web3 Wallet، Jaxx Liberty، Coinbase، Guarda، TronLink، Trezor Password Manager، Metamask را هدف قرار میدهد. و BinanceChain.
Atomic همچنین دادههای مرورگر وب، مانند پر کردن خودکار، رمز عبور، کوکیها و اطلاعات کارت اعتباری را از Google Chrome، Mozilla Firefox، Microsoft Edge، Yandex، Opera و Vivaldi میدزدد. علاوه بر این، می تواند اطلاعات سیستم مانند نام مدل، UUID سخت افزار، اندازه RAM، تعداد هسته، شماره سریال و موارد دیگر را جمع آوری کند.
علاوه بر این، Atomic اپراتورها را قادر میسازد تا فایلها را از دایرکتوریهای «Desktop» و «Documents» قربانی سرقت کنند، اما ابتدا باید مجوز دسترسی به این فایلها را درخواست کند، که میتواند فرصتی را برای قربانیان فراهم کند تا فعالیتهای مخرب را شناسایی کنند.
پس از جمع آوری داده ها، بدافزار آن را در یک فایل ZIP فشرده کرده و به سرور Command-and-Control (C&C) عامل تهدید منتقل می کند. سرور C&C در "amos-malware[.]ru/sendlog میزبانی می شود.
در حالی که macOS از لحاظ تاریخی نسبت به سایر سیستمعاملها مانند ویندوز کمتر مستعد فعالیتهای مضر بوده است، اکنون به یک هدف فزاینده محبوب برای بازیگران تهدید در تمام سطوح مهارت تبدیل شده است. این احتمالاً به دلیل افزایش تعداد کاربران macOS، بهویژه در بخشهای تجاری و سازمانی است که آن را به یک هدف پرسود برای مجرمان سایبری تبدیل میکند که به دنبال سرقت دادههای حساس یا دسترسی غیرمجاز به سیستمها هستند. در نتیجه، کاربران macOS باید هوشیار باشند و اقدامات احتیاطی لازم را برای محافظت از دستگاه های خود در برابر این تهدیدات انجام دهند.