Atomic Stealer

Эксперты по кибербезопасности сообщают, что злоумышленник продает новое вредоносное ПО под названием Atomic Stealer в приложении для обмена сообщениями Telegram. Это вредоносное ПО написано на Golang и специально разработано для платформ macOS и может красть конфиденциальную информацию с компьютера жертвы.

Злоумышленник активно продвигает Atomic Stealer в Telegram, где недавно было опубликовано обновление, демонстрирующее последние возможности угрозы. Эта вредоносная программа для кражи информации представляет серьезную опасность для пользователей macOS, поскольку может скомпрометировать конфиденциальную информацию, хранящуюся на их компьютерах, включая пароли и конфигурации системы. Подробности об угрозе были раскрыты в отчете исследователей вредоносного ПО.

Atomic Stealer обладает широким спектром угрожающих возможностей

Atomic Stealer имеет различные функции кражи данных, которые позволяют его операторам проникать глубже в целевую систему. Когда небезопасный файл dmg выполняется, вредоносная программа отображает поддельный пароль, чтобы обманным путем заставить жертву предоставить свой системный пароль, что позволяет злоумышленнику получить повышенные привилегии на компьютере жертвы.

Это необходимый шаг для доступа к конфиденциальной информации, но в будущем обновлении он может использоваться для изменения важных системных настроек или установки дополнительных полезных нагрузок. После этой первоначальной компрометации вредоносное ПО пытается извлечь пароль Keychain, который является встроенным менеджером паролей macOS, в котором хранится зашифрованная информация, такая как пароли WiFi, логины веб-сайтов и данные кредитных карт.

Atomic Stealer атакует более 50 криптокошельков

Как только Atomic взломает компьютер с macOS, он сможет извлечь различную информацию из программного обеспечения на устройстве. Вредоносное ПО нацелено на десктопные криптовалютные кошельки, такие как Electrum, Binance, Exodus и сам Atomic, а также на более чем 50 расширений криптовалютных кошельков, включая Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi. и Бинансчейн.

Atomic также крадет данные веб-браузера, такие как автозаполнение, пароли, файлы cookie и информацию о кредитных картах из Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera и Vivaldi. Кроме того, он может собирать системную информацию, такую как название модели, аппаратный UUID, размер ОЗУ, количество ядер, серийный номер и многое другое.

Кроме того, Atomic позволяет операторам красть файлы из каталогов «Рабочий стол» и «Документы» жертвы, но сначала необходимо запросить разрешение на доступ к этим файлам, что может дать жертвам возможность обнаружить вредоносную активность.

После сбора данных вредоносное ПО сжимает их в ZIP-файл и передает на командно-контрольный (C&C) сервер злоумышленника. C&C-сервер размещен по адресу amos-malware[.]ru/sendlog.

Хотя macOS исторически была менее подвержена вредоносным действиям, чем другие операционные системы, такие как Windows, в настоящее время она становится все более популярной мишенью для злоумышленников всех уровней квалификации. Вероятно, это связано с растущим числом пользователей macOS, особенно в бизнес-секторе, что делает ее прибыльной целью для киберпреступников, стремящихся украсть конфиденциальные данные или получить несанкционированный доступ к системам. В результате пользователи macOS должны сохранять бдительность и принимать необходимые меры предосторожности для защиты своих устройств от этих угроз.