Atomic Stealer

Eksperci ds. cyberbezpieczeństwa ujawniają, że cyberprzestępca sprzedaje nowe złośliwe oprogramowanie o nazwie Atomic Stealer w aplikacji do przesyłania wiadomości Telegram. To złośliwe oprogramowanie jest napisane w Golang i jest specjalnie zaprojektowane do atakowania platform macOS i może kraść poufne informacje z maszyny ofiary.

Aktor zagrożenia aktywnie promuje Atomic Stealer w Telegramie, gdzie niedawno zwrócił uwagę na aktualizację prezentującą najnowsze możliwości tego zagrożenia. To złośliwe oprogramowanie kradnące informacje stanowi poważne zagrożenie dla użytkowników systemu macOS, ponieważ może narazić na szwank poufne informacje przechowywane na ich komputerach, w tym hasła i konfiguracje systemu. Szczegóły dotyczące zagrożenia zostały ujawnione w raporcie badaczy szkodliwego oprogramowania.

Atomic Stealer posiada szeroki zakres groźnych zdolności

Atomic Stealer ma różne funkcje kradzieży danych, które umożliwiają jego operatorom głębszą penetrację systemu docelowego. Po uruchomieniu niebezpiecznego pliku dmg złośliwe oprogramowanie wyświetla monit o fałszywe hasło, aby nakłonić ofiarę do podania hasła systemowego, co pozwala atakującemu uzyskać podwyższone uprawnienia na komputerze ofiary.

Jest to niezbędny krok, aby uzyskać dostęp do poufnych informacji, ale przyszła aktualizacja może go użyć do zmiany kluczowych ustawień systemu lub zainstalowania dodatkowych ładunków. Po tym wstępnym naruszeniu złośliwe oprogramowanie próbuje wyodrębnić hasło pęku kluczy, które jest wbudowanym menedżerem haseł systemu macOS i przechowuje zaszyfrowane informacje, takie jak hasła Wi-Fi, loginy do witryn internetowych i dane kart kredytowych.

Atomic Stealer celuje w ponad 50 kryptowalut

Gdy Atomic włamie się do komputera z systemem macOS, może wyodrębnić różne rodzaje informacji z oprogramowania na urządzeniu. Złośliwe oprogramowanie atakuje portfele kryptowalut na komputery stacjonarne, takie jak Electrum, Binance, Exodus i sam Atomic, a także ponad 50 rozszerzeń portfela kryptowalut, w tym Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi i BinanceChaina.

Atomic kradnie również dane przeglądarki internetowej, takie jak automatyczne wypełnianie, hasła, pliki cookie i informacje o kartach kredytowych z Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera i Vivaldi. Ponadto może zbierać informacje o systemie, takie jak nazwa modelu, identyfikator UUID sprzętu, rozmiar pamięci RAM, liczba rdzeni, numer seryjny i inne.

Ponadto Atomic umożliwia operatorom kradzież plików z katalogów „Pulpit” i „Dokumenty” ofiary, ale najpierw musi poprosić o pozwolenie na dostęp do tych plików, co może dać ofiarom możliwość wykrycia złośliwej aktywności.

Po zebraniu danych złośliwe oprogramowanie kompresuje je do pliku ZIP i przesyła do serwera Command-and-Control (C&C) ugrupowania cyberprzestępczego. Serwer C&C znajduje się pod adresem „amos-malware[.]ru/sendlog”.

Chociaż macOS był historycznie mniej podatny na szkodliwe działania niż inne systemy operacyjne, takie jak Windows, obecnie staje się coraz bardziej popularnym celem cyberprzestępców na wszystkich poziomach umiejętności. Jest to prawdopodobnie spowodowane rosnącą liczbą użytkowników systemu macOS, szczególnie w sektorach biznesowym i korporacyjnym, co czyni go lukratywnym celem dla cyberprzestępców chcących ukraść poufne dane lub uzyskać nieautoryzowany dostęp do systemów. W rezultacie użytkownicy systemu macOS muszą zachować czujność i podjąć niezbędne środki ostrożności, aby chronić swoje urządzenia przed tymi zagrożeniami.