Atomic Stealer

Eksperter på nettsikkerhet avslører at en trusselaktør selger en ny skadelig programvare kalt Atomic Stealer på meldingsapplikasjonen Telegram. Denne skadevare er skrevet i Golang og er spesielt utviklet for å målrette mot macOS-plattformer og kan stjele sensitiv informasjon fra offerets maskin.

Trusselaktøren promoterer aktivt Atomic Stealer på Telegram, hvor de nylig fremhevet en oppdatering som viser de siste egenskapene til trusselen. Denne skadelige programvaren som stjeler informasjon utgjør en alvorlig risiko for macOS-brukere, siden den kan kompromittere sensitiv informasjon som er lagret på maskinene deres, inkludert passord og systemkonfigurasjoner. Detaljer om trusselen ble avslørt i en rapport fra skadevareforskere.

Atomic Stealer har et bredt spekter av truende egenskaper

Atomic Stealer har forskjellige datatyverifunksjoner som gjør det mulig for operatørene å trenge dypere inn i målsystemet. Når den usikre dmg-filen kjøres, viser skadevaren en falsk passordmelding for å lure offeret til å oppgi systempassordet sitt, som lar angriperen få økte privilegier på offerets maskin.

Dette er et nødvendig skritt for å få tilgang til sensitiv informasjon, men en fremtidig oppdatering kan bruke den til å endre viktige systeminnstillinger eller installere ekstra nyttelast. Etter dette innledende kompromisset prøver skadevaren å trekke ut nøkkelring-passordet, som er macOS' innebygde passordbehandler som lagrer kryptert informasjon som WiFi-passord, nettsidepålogginger og kredittkortdata.

Atomic Stealer retter seg mot over 50 krypto-lommebøker

Når Atomic har brutt en macOS-maskin, kan den trekke ut ulike typer informasjon fra programvaren på enheten. Skadevaren retter seg mot stasjonære kryptovaluta-lommebøker som Electrum, Binance, Exodus og Atomic selv, samt over 50 kryptovaluta-lommebokutvidelser, inkludert Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi og BinanceChain.

Atomic stjeler også nettleserdata, som autofyll, passord, informasjonskapsler og kredittkortinformasjon fra Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera og Vivaldi. Dessuten kan den samle inn systeminformasjon som modellnavn, maskinvare-UUID, RAM-størrelse, kjerneantall, serienummer og mer.

I tillegg gjør Atomic det mulig for operatører å stjele filer fra offerets "Desktop" og "Documents"-kataloger, men den må først be om tillatelse til å få tilgang til disse filene, noe som kan gi ofrene en mulighet til å oppdage den ondsinnede aktiviteten.

Etter å ha samlet inn dataene, vil skadelig programvare komprimere dem til en ZIP-fil og overføre dem til Command-and-Control-serveren (C&C) til trusselaktøren. C&C-serveren er vert for 'amos-malware[.]ru/sendlog.'

Mens macOS historisk sett har vært mindre utsatt for skadelig aktivitet enn andre operativsystemer som Windows, blir det nå et stadig mer populært mål for trusselaktører på alle ferdighetsnivåer. Dette skyldes sannsynligvis det økende antallet macOS-brukere, spesielt i forretnings- og bedriftssektorene, noe som gjør det til et lukrativt mål for nettkriminelle som ønsker å stjele sensitive data eller få uautorisert tilgang til systemer. Som et resultat må macOS-brukere være årvåkne og ta nødvendige forholdsregler for å beskytte enhetene sine mot disse truslene.