Atomic Stealer

Kiberbiztonsági szakértők felfedik, hogy egy fenyegetőző egy új, Atomic Stealer nevű kártevőt árul az üzenetküldő alkalmazáson, a Telegramon. Ez a rosszindulatú program Golang nyelven íródott, és kifejezetten a macOS platformok megcélzására készült, és érzékeny információkat lophat el az áldozat gépéről.

A fenyegetettség szereplője aktívan népszerűsíti az Atomic Stealert a Telegramon, ahol nemrégiben kiemeltek egy frissítést, amely bemutatja a fenyegetés legújabb képességeit. Ez az információlopó rosszindulatú program komoly kockázatot jelent a macOS-felhasználók számára, mivel veszélyeztetheti a gépeiken tárolt érzékeny információkat, beleértve a jelszavakat és a rendszerkonfigurációkat. A fenyegetés részleteit a rosszindulatú programokkal foglalkozó kutatók jelentéséből tárták fel.

Az Atomic Stealer a fenyegető képességek széles skálájával rendelkezik

Az Atomic Stealer különféle adatlopási funkciókkal rendelkezik, amelyek lehetővé teszik kezelőinek, hogy mélyebben behatoljanak a célrendszerbe. A nem biztonságos dmg fájl végrehajtásakor a rosszindulatú program hamis jelszót jelenít meg, hogy rávegye az áldozatot a rendszerjelszó megadására, amely lehetővé teszi a támadó számára, hogy magasabb szintű jogosultságokat szerezzen az áldozat gépén.

Ez egy szükséges lépés az érzékeny információk eléréséhez, de egy jövőbeli frissítés felhasználhatja a kulcsfontosságú rendszerbeállítások módosítására vagy további hasznos terhelések telepítésére. A kezdeti kompromisszum után a rosszindulatú program megpróbálja kinyerni a Keychain jelszót, amely a macOS beépített jelszókezelője, amely titkosított információkat tárol, például WiFi jelszavakat, webhely-bejelentkezéseket és hitelkártyaadatokat.

Az Atomic Stealer több mint 50 kriptopénztárcát céloz meg

Ha az Atomic feltört egy macOS-gépet, különféle típusú információkat tud kinyerni az eszköz szoftveréből. A kártevő olyan asztali kriptovaluta pénztárcákat céloz meg, mint az Electrum, Binance, Exodus és magát az Atomicot, valamint több mint 50 kriptovaluta pénztárca-bővítményt, köztük Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Y Password Manager, Metimask. és a BinanceChain.

Az Atomic ezenkívül ellopja a webböngésző adatait, például az automatikus kitöltéseket, jelszavakat, cookie-kat és hitelkártyaadatokat a Google Chrome-ból, a Mozilla Firefoxból, a Microsoft Edge-ből, a Yandexből, az Operából és a Vivaldiból. Ezenkívül olyan rendszerinformációkat is gyűjthet, mint a modell neve, a hardver UUID, a RAM mérete, a magok száma, a sorozatszám stb.

Ezenkívül az Atomic lehetővé teszi a kezelők számára, hogy fájlokat lopjanak el az áldozat „Asztali” és „Dokumentumok” könyvtárából, de először engedélyt kell kérnie ezekhez a fájlokhoz, ami lehetőséget biztosíthat az áldozatoknak a rosszindulatú tevékenység észlelésére.

Az adatok összegyűjtése után a rosszindulatú program ZIP-fájlba tömöríti azokat, és továbbítja azokat a fenyegetettség szereplőjének Command-and-Control (C&C) szerverére. A C&C szerver az „amos-malware[.]ru/sendlog” címen található.

Míg a macOS a múltban kevésbé volt kitéve a káros tevékenységeknek, mint más operációs rendszerek, például a Windows, mostanra egyre népszerűbb célponttá válik a fenyegetések minden szintjén. Ez valószínűleg a macOS-felhasználók növekvő számának köszönhető, különösen az üzleti és vállalati szektorban, így jövedelmező célponttá válik az érzékeny adatok ellopására vagy a rendszerekhez való jogosulatlan hozzáférésre törekvő kiberbűnözők számára. Ennek eredményeként a macOS-felhasználóknak ébernek kell maradniuk, és meg kell tenniük a szükséges óvintézkedéseket, hogy megvédjék eszközeiket ezekkel a fenyegetésekkel szemben.