Atomic Stealer

Stručnjaci za kibernetičku sigurnost otkrivaju da prijetnja prodaje novi malware pod nazivom Atomic Stealer na aplikaciji za razmjenu poruka, Telegram. Ovaj zlonamjerni softver napisan je u Golangu i posebno je dizajniran za ciljanje macOS platformi i može ukrasti osjetljive informacije sa žrtvinog stroja.

Glumac prijetnje aktivno promovira Atomic Stealer na Telegramu, gdje su nedavno istaknuli ažuriranje koje prikazuje najnovije mogućnosti prijetnje. Ovaj zlonamjerni softver za krađu informacija predstavlja ozbiljan rizik za korisnike macOS-a jer može ugroziti osjetljive informacije pohranjene na njihovim računalima, uključujući lozinke i konfiguracije sustava. Pojedinosti o prijetnji otkrivene su u izvješću istraživača zlonamjernog softvera.

Atomic Stealer posjeduje širok raspon prijetećih sposobnosti

Atomic Stealer ima različite značajke za krađu podataka koje omogućuju njegovim operaterima da prodru dublje u ciljni sustav. Kada se nesigurna dmg datoteka izvrši, zlonamjerni softver prikazuje upit za lažnu lozinku kako bi prevario žrtvu da unese svoju sistemsku lozinku, što napadaču omogućuje dobivanje povišenih privilegija na žrtvinom računalu.

Ovo je neophodan korak za pristup osjetljivim informacijama, ali buduća ažuriranja mogu ga koristiti za promjenu ključnih postavki sustava ili instaliranje dodatnih sadržaja. Nakon ovog početnog kompromisa, zlonamjerni softver pokušava izvući Keychain lozinku, koja je ugrađeni upravitelj lozinki u macOS-u koji pohranjuje šifrirane informacije kao što su WiFi lozinke, prijave na web stranice i podaci o kreditnim karticama.

The Atomic Stealer cilja preko 50 kripto-novčanika

Nakon što Atomic probije macOS stroj, može izvući razne vrste informacija iz softvera na uređaju. Zlonamjerni softver cilja desktop novčanike za kriptovalute kao što su Electrum, Binance, Exodus i sam Atomic, kao i više od 50 proširenja novčanika za kriptovalute, uključujući Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi i BinanceChain.

Atomic također krade podatke web preglednika, kao što su automatsko popunjavanje, lozinke, kolačići i informacije o kreditnim karticama iz Google Chromea, Mozilla Firefoxa, Microsoft Edgea, Yandexa, Opere i Vivaldija. Štoviše, može prikupljati informacije o sustavu kao što su naziv modela, UUID hardvera, veličina RAM-a, broj jezgri, serijski broj i više.

Osim toga, Atomic omogućuje operaterima krađu datoteka iz 'Desktop' i 'Documents' direktorija žrtve, ali prvo mora zatražiti dozvolu za pristup tim datotekama, što žrtvama može pružiti priliku da otkriju zlonamjernu aktivnost.

Nakon prikupljanja podataka, zlonamjerni softver će ih komprimirati u ZIP datoteku i poslati na Command-and-Control (C&C) poslužitelj aktera prijetnje. C&C poslužitelj smješten je na 'amos-malware[.]ru/sendlog.'

Dok je macOS povijesno bio manje sklon štetnim aktivnostima od drugih operativnih sustava poput Windowsa, sada postaje sve popularnija meta aktera prijetnji svih razina vještina. To je vjerojatno zbog sve većeg broja korisnika macOS-a, posebno u poslovnim i poslovnim sektorima, što ga čini unosnom metom za kibernetičke kriminalce koji žele ukrasti osjetljive podatke ili dobiti neovlašteni pristup sustavima. Kao rezultat toga, korisnici macOS-a moraju ostati oprezni i poduzeti potrebne mjere opreza kako bi zaštitili svoje uređaje od ovih prijetnji.