Atomic Stealer

Odborníci na kybernetickú bezpečnosť odhaľujú, že aktér hrozby predáva nový malvér s názvom Atomic Stealer v aplikácii na odosielanie správ Telegram. Tento malvér je napísaný v Golangu a je špeciálne navrhnutý tak, aby sa zameral na platformy macOS a môže ukradnúť citlivé informácie zo stroja obete.

Aktér hrozby aktívne propaguje Atomic Stealer na telegrame, kde nedávno zdôraznili aktualizáciu predstavujúcu najnovšie možnosti hrozby. Tento malvér kradnúci informácie predstavuje vážne riziko pre používateľov macOS, pretože môže kompromitovať citlivé informácie, ktoré sú uložené na ich počítačoch, vrátane hesiel a systémových konfigurácií. Podrobnosti o hrozbe odhalila správa výskumníkov malvéru.

Atomic Stealer má širokú škálu hrozivých schopností

Atomic Stealer má rôzne funkcie na odcudzenie údajov, ktoré umožňujú jeho operátorom preniknúť hlbšie do cieľového systému. Keď sa spustí nebezpečný súbor dmg, malvér zobrazí výzvu na zadanie falošného hesla, aby obeť oklamal, aby poskytla svoje systémové heslo, čo útočníkovi umožní získať zvýšené privilégiá na počítači obete.

Toto je nevyhnutný krok na prístup k citlivým informáciám, ale budúca aktualizácia ho môže použiť na zmenu dôležitých systémových nastavení alebo inštaláciu ďalších užitočných dát. Po tomto počiatočnom kompromise sa malvér pokúsi extrahovať heslo Keychain, čo je vstavaný správca hesiel systému MacOS, ktorý ukladá šifrované informácie, ako sú heslá WiFi, prihlasovacie údaje na webové stránky a údaje o kreditných kartách.

Atomic Stealer sa zameriava na viac ako 50 krypto-peňaženiek

Akonáhle Atomic naruší počítač so systémom macOS, môže extrahovať rôzne typy informácií zo softvéru v zariadení. Malvér sa zameriava na desktopové kryptomenové peňaženky ako Electrum, Binance, Exodus a samotný Atomic, ako aj na viac ako 50 rozšírení kryptomenových peňaženiek vrátane Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi. a BinanceChain.

Atomic tiež kradne údaje webového prehliadača, ako sú automatické vypĺňania, heslá, súbory cookie a informácie o kreditných kartách z prehliadačov Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera a Vivaldi. Okrem toho môže zhromažďovať systémové informácie, ako je názov modelu, hardvérové UUID, veľkosť pamäte RAM, počet jadier, sériové číslo a ďalšie.

Atomic navyše umožňuje operátorom kradnúť súbory z adresárov „Desktop“ a „Documents“ obete, ale najprv musí požiadať o povolenie na prístup k týmto súborom, čo môže obetiam poskytnúť príležitosť odhaliť zákernú aktivitu.

Po zhromaždení údajov ich malvér skomprimuje do súboru ZIP a odošle na server Command-and-Control (C&C) aktéra hrozby. Server C&C je umiestnený na adrese 'amos-malware[.]ru/sendlog.'

Zatiaľ čo macOS bol historicky menej náchylný na škodlivú aktivitu ako iné operačné systémy ako Windows, v súčasnosti sa stáva čoraz obľúbenejším cieľom pre aktérov hrozieb všetkých úrovní zručností. Je to pravdepodobne spôsobené rastúcim počtom používateľov macOS, najmä v obchodnom a podnikovom sektore, čo z neho robí lukratívny cieľ pre kyberzločincov, ktorí sa snažia ukradnúť citlivé údaje alebo získať neoprávnený prístup k systémom. V dôsledku toho musia používatelia macOS zostať ostražití a prijať potrebné opatrenia na ochranu svojich zariadení pred týmito hrozbami.