Atomic Stealer

Cybersäkerhetsexperter avslöjar att en hotaktör säljer en ny skadlig programvara som heter Atomic Stealer på meddelandeapplikationen Telegram. Denna skadliga programvara är skriven i Golang och är speciellt utformad för att rikta in sig på macOS-plattformar och kan stjäla känslig information från offrets dator.

Hotaktören marknadsför aktivt Atomic Stealer på Telegram, där de nyligen lyfte fram en uppdatering som visar hotets senaste möjligheter. Denna informationsstöldande skadlig programvara utgör en allvarlig risk för macOS-användare, eftersom den kan äventyra känslig information som lagras på deras maskiner, inklusive lösenord och systemkonfigurationer. Detaljer om hotet avslöjades i en rapport från malware-forskare.

Atomic Stealer har ett brett utbud av hotfulla funktioner

Atomic Stealer har olika datastöldsfunktioner som gör att dess operatörer kan penetrera djupare in i målsystemet. När den osäkra dmg-filen körs visar den skadliga programvaran en falsk lösenordsuppmaning för att lura offret att tillhandahålla sitt systemlösenord, vilket gör att angriparen kan få förhöjda privilegier på offrets dator.

Detta är ett nödvändigt steg för att komma åt känslig information, men en framtida uppdatering kan använda den för att ändra viktiga systeminställningar eller installera ytterligare nyttolaster. Efter denna initiala kompromiss försöker skadlig programvara extrahera nyckelring-lösenordet, som är macOS inbyggda lösenordshanterare som lagrar krypterad information som WiFi-lösenord, webbsidor och kreditkortsdata.

Atomic Stealer riktar sig till över 50 kryptoplånböcker

När Atomic har gjort intrång i en macOS-maskin kan den extrahera olika typer av information från programvaran på enheten. Skadlig programvara riktar sig till datorbaserade kryptovaluta-plånböcker som Electrum, Binance, Exodus och Atomic själv, såväl som över 50 kryptovaluta-plånbokstillägg, inklusive Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi och BinanceChain.

Atomic stjäl även webbläsardata, såsom autofyllningar, lösenord, cookies och kreditkortsinformation från Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera och Vivaldi. Dessutom kan den samla in systeminformation som modellnamn, hårdvaru-UUID, RAM-storlek, antal kärnor, serienummer och mer.

Dessutom gör Atomic det möjligt för operatörer att stjäla filer från offrets "Desktop" och "Documents"-kataloger, men det måste först begära tillstånd för att få tillgång till dessa filer, vilket kan ge offren en möjlighet att upptäcka den skadliga aktiviteten.

Efter att ha samlat in data kommer den skadliga programvaran att komprimera den till en ZIP-fil och överföra den till Command-and-Control-servern (C&C) hos hotaktören. C&C-servern är värd på 'amos-malware[.]ru/sendlog.'

Medan macOS historiskt sett har varit mindre benägna för skadlig aktivitet än andra operativsystem som Windows, blir det nu ett alltmer populärt mål för hotaktörer på alla nivåer. Detta beror troligen på det växande antalet macOS-användare, särskilt inom affärs- och företagssektorerna, vilket gör det till ett lukrativt mål för cyberbrottslingar som vill stjäla känslig data eller få obehörig åtkomst till system. Som ett resultat måste macOS-användare förbli vaksamma och vidta nödvändiga försiktighetsåtgärder för att skydda sina enheter från dessa hot.