Atomic Stealer

کارشناسان امنیت سایبری فاش کردند که یک عامل تهدید در حال فروش بدافزار جدیدی به نام Atomic Stealer در اپلیکیشن پیام رسان تلگرام است. این بدافزار به زبان Golang نوشته شده است و به طور خاص برای هدف قرار دادن پلتفرم های macOS طراحی شده است و می تواند اطلاعات حساس را از دستگاه قربانی سرقت کند.

این بازیگر تهدید به طور فعال در حال تبلیغ Atomic Stealer در تلگرام است، جایی که اخیراً به‌روزرسانی جدیدی را نشان داده‌اند که آخرین قابلیت‌های تهدید را به نمایش می‌گذارد. این بدافزار سرقت اطلاعات خطری جدی برای کاربران macOS ایجاد می‌کند، زیرا می‌تواند اطلاعات حساسی را که در دستگاه‌های آن‌ها ذخیره می‌شود، از جمله رمزهای عبور و پیکربندی‌های سیستم، به خطر بیاندازد. جزئیات این تهدید در گزارشی توسط محققان بدافزار فاش شد.

دزد اتمی دارای طیف گسترده ای از قابلیت های تهدید کننده است

Atomic Stealer دارای ویژگی‌های مختلف سرقت اطلاعات است که اپراتورهای آن را قادر می‌سازد تا به عمق سیستم مورد نظر نفوذ کنند. هنگامی که فایل dmg ناامن اجرا می‌شود، بدافزار یک رمز عبور جعلی را نمایش می‌دهد تا قربانی را فریب دهد تا رمز عبور سیستم خود را ارائه دهد، که به مهاجم اجازه می‌دهد تا امتیازات بالاتری را در دستگاه قربانی به دست آورد.

این یک مرحله ضروری برای دسترسی به اطلاعات حساس است، اما ممکن است به‌روزرسانی آینده از آن برای تغییر تنظیمات مهم سیستم یا نصب بارهای اضافی استفاده کند. پس از این مصالحه اولیه، بدافزار سعی می‌کند رمز عبور Keychain را استخراج کند، که مدیر رمز داخلی macOS است که اطلاعات رمزگذاری‌شده مانند رمزهای عبور WiFi، ورود به وب‌سایت و داده‌های کارت اعتباری را ذخیره می‌کند.

The Atomic Stealer بیش از 50 کیف پول دیجیتال را هدف قرار می دهد

هنگامی که Atomic به یک دستگاه macOS نفوذ کند، می تواند انواع مختلفی از اطلاعات را از نرم افزار موجود در دستگاه استخراج کند. این بدافزار کیف پول‌های رمزنگاری دسکتاپ مانند Electrum، Binance، Exodus، و خود Atomic و همچنین بیش از 50 افزونه کیف پول رمزنگاری‌شده، از جمله Trust Wallet، Exodus Web3 Wallet، Jaxx Liberty، Coinbase، Guarda، TronLink، Trezor Password Manager، Metamask را هدف قرار می‌دهد. و BinanceChain.

Atomic همچنین داده‌های مرورگر وب، مانند پر کردن خودکار، رمز عبور، کوکی‌ها و اطلاعات کارت اعتباری را از Google Chrome، Mozilla Firefox، Microsoft Edge، Yandex، Opera و Vivaldi می‌دزدد. علاوه بر این، می تواند اطلاعات سیستم مانند نام مدل، UUID سخت افزار، اندازه RAM، تعداد هسته، شماره سریال و موارد دیگر را جمع آوری کند.

علاوه بر این، Atomic اپراتورها را قادر می‌سازد تا فایل‌ها را از دایرکتوری‌های «Desktop» و «Documents» قربانی سرقت کنند، اما ابتدا باید مجوز دسترسی به این فایل‌ها را درخواست کند، که می‌تواند فرصتی را برای قربانیان فراهم کند تا فعالیت‌های مخرب را شناسایی کنند.

پس از جمع آوری داده ها، بدافزار آن را در یک فایل ZIP فشرده کرده و به سرور Command-and-Control (C&C) عامل تهدید منتقل می کند. سرور C&C در "amos-malware[.]ru/sendlog میزبانی می شود.

در حالی که macOS از لحاظ تاریخی نسبت به سایر سیستم‌عامل‌ها مانند ویندوز کمتر مستعد فعالیت‌های مضر بوده است، اکنون به یک هدف فزاینده محبوب برای بازیگران تهدید در تمام سطوح مهارت تبدیل شده است. این احتمالاً به دلیل افزایش تعداد کاربران macOS، به‌ویژه در بخش‌های تجاری و سازمانی است که آن را به یک هدف پرسود برای مجرمان سایبری تبدیل می‌کند که به دنبال سرقت داده‌های حساس یا دسترسی غیرمجاز به سیستم‌ها هستند. در نتیجه، کاربران macOS باید هوشیار باشند و اقدامات احتیاطی لازم را برای محافظت از دستگاه های خود در برابر این تهدیدات انجام دهند.