Atomic Stealer

Kibernetinio saugumo ekspertai atskleidžia, kad grėsmių veikėjas pranešimų programoje „Telegram“ parduoda naują kenkėjišką programą, vadinamą „Atomic Stealer“. Ši kenkėjiška programa yra parašyta Golang kalba ir yra specialiai sukurta „macOS“ platformoms taikyti ir gali pavogti neskelbtiną informaciją iš aukos įrenginio.

Grėsmių veikėjas aktyviai reklamuoja „Atomic Stealer“ per „Telegram“, kur neseniai pabrėžė atnaujinimą, kuriame pristatomos naujausios grėsmės galimybės. Ši informaciją vagianti kenkėjiška programa kelia rimtą pavojų „MacOS“ naudotojams, nes gali pažeisti slaptą informaciją, kuri saugoma jų įrenginiuose, įskaitant slaptažodžius ir sistemos konfigūracijas. Išsami informacija apie grėsmę buvo atskleista kenkėjiškų programų tyrinėtojų ataskaitoje.

„Atomic Stealer“ turi daugybę grėsmingų galimybių

„Atomic Stealer“ turi įvairių duomenų vagysčių funkcijų, kurios leidžia jo operatoriams giliau įsiskverbti į tikslinę sistemą. Kai vykdomas nesaugus dmg failas, kenkėjiška programa rodo suklastotą slaptažodžio raginimą, kad apgaulė auką pateiktų savo sistemos slaptažodį, o tai leidžia užpuolikui įgyti aukštesnes aukos kompiuterio privilegijas.

Tai būtinas veiksmas norint pasiekti neskelbtiną informaciją, tačiau būsimas naujinimas gali jį naudoti norint pakeisti esminius sistemos nustatymus arba įdiegti papildomus naudingus krovinius. Po šio pradinio kompromiso kenkėjiška programa bando išgauti „Keychain“ slaptažodį, kuris yra „macOS“ integruota slaptažodžių tvarkyklė, kurioje saugoma užšifruota informacija, pvz., „WiFi“ slaptažodžiai, svetainės prisijungimai ir kredito kortelių duomenys.

„Atomic Stealer“ skirta daugiau nei 50 kriptovaliutų piniginių

Kai „Atomic“ pažeidžia „macOS“ įrenginį, jis gali iš įrenginio programinės įrangos išgauti įvairių tipų informaciją. Kenkėjiška programa skirta staliniams kompiuteriams skirtoms kriptovaliutų piniginėms, tokioms kaip Electrum, Binance, Exodus ir pati Atomic, taip pat daugiau nei 50 kriptovaliutų piniginės plėtinių, įskaitant Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Y Password Manager, Metimask. ir BinanceChain.

„Atomic“ taip pat vagia žiniatinklio naršyklės duomenis, tokius kaip automatinis pildymas, slaptažodžiai, slapukai ir kredito kortelių informacija iš „Google Chrome“, „Mozilla Firefox“, „Microsoft Edge“, „Yandex“, „Opera“ ir „Vivaldi“. Be to, jis gali rinkti sistemos informaciją, pvz., modelio pavadinimą, aparatinės įrangos UUID, RAM dydį, branduolių skaičių, serijos numerį ir kt.

Be to, „Atomic“ leidžia operatoriams pavogti failus iš aukos „Darbalaukio“ ir „Dokumentų“ katalogų, tačiau pirmiausia ji turi paprašyti leidimo pasiekti šiuos failus, o tai gali suteikti aukoms galimybę aptikti kenkėjišką veiklą.

Surinkusi duomenis, kenkėjiška programa suglaudins juos į ZIP failą ir perduos į grėsmės veikėjo komandų ir valdymo (C&C) serverį. C&C serveris priglobtas adresu „amos-malware[.]ru/sendlog“.

Nors istoriškai „macOS“ buvo mažiau linkusi į žalingą veiklą nei kitos operacinės sistemos, pvz., „Windows“, dabar ji tampa vis populiaresniu visų lygių grėsmių subjektų taikiniu. Tikėtina, kad taip yra dėl didėjančio „MacOS“ vartotojų skaičiaus, ypač verslo ir įmonių sektoriuose, todėl tai yra pelningas taikinys kibernetiniams nusikaltėliams, norintiems pavogti neskelbtinus duomenis arba gauti neteisėtą prieigą prie sistemų. Todėl „macOS“ naudotojai turi išlikti budrūs ir imtis būtinų atsargumo priemonių, kad apsaugotų savo įrenginius nuo šių grėsmių.