Atomic Stealer

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เปิดเผยว่าผู้คุกคามกำลังขายมัลแวร์ตัวใหม่ที่เรียกว่า Atomic Stealer บนแอปพลิเคชันส่งข้อความ Telegram มัลแวร์นี้เขียนด้วยภาษา Golang และออกแบบมาเพื่อกำหนดเป้าหมายแพลตฟอร์ม macOS โดยเฉพาะ และสามารถขโมยข้อมูลที่ละเอียดอ่อนจากเครื่องของเหยื่อได้

ผู้คุกคามกำลังโปรโมต Atomic Stealer บน Telegram อย่างแข็งขัน ซึ่งล่าสุดพวกเขาได้เน้นย้ำถึงการอัปเดตที่แสดงความสามารถล่าสุดของภัยคุกคาม มัลแวร์ขโมยข้อมูลนี้ก่อให้เกิดความเสี่ยงร้ายแรงต่อผู้ใช้ macOS เนื่องจากสามารถบุกรุกข้อมูลที่ละเอียดอ่อนซึ่งจัดเก็บไว้ในเครื่อง รวมถึงรหัสผ่านและการกำหนดค่าระบบ รายละเอียดเกี่ยวกับภัยคุกคามถูกเปิดเผยในรายงานโดยนักวิจัยมัลแวร์

นักขโมยปรมาณูมีความสามารถในการคุกคามที่หลากหลาย

Atomic Stealer มีคุณสมบัติการโจรกรรมข้อมูลหลายอย่างที่ช่วยให้ผู้ปฏิบัติงานเจาะลึกเข้าไปในระบบเป้าหมายได้ เมื่อไฟล์ dmg ที่ไม่ปลอดภัยทำงาน มัลแวร์จะแสดงข้อความแจ้งรหัสผ่านปลอมเพื่อหลอกให้เหยื่อป้อนรหัสผ่านระบบ ซึ่งช่วยให้ผู้โจมตีได้รับสิทธิ์ขั้นสูงในเครื่องของเหยื่อ

นี่เป็นขั้นตอนที่จำเป็นในการเข้าถึงข้อมูลที่ละเอียดอ่อน แต่การอัปเดตในอนาคตอาจใช้เพื่อเปลี่ยนการตั้งค่าระบบที่สำคัญหรือติดตั้งเพย์โหลดเพิ่มเติม หลังจากการประนีประนอมครั้งแรกนี้ มัลแวร์จะพยายามแยกรหัสผ่าน Keychain ซึ่งเป็นตัวจัดการรหัสผ่านในตัวของ macOS ที่เก็บข้อมูลที่เข้ารหัส เช่น รหัสผ่าน WiFi การเข้าสู่ระบบเว็บไซต์ และข้อมูลบัตรเครดิต

Atomic Stealer กำหนดเป้าหมายมากกว่า 50 Crypto-Wallets

เมื่อ Atomic เจาะระบบ macOS แล้ว ก็สามารถดึงข้อมูลประเภทต่างๆ จากซอฟต์แวร์ในเครื่องได้ มัลแวร์มุ่งเป้าไปที่กระเป๋าเงินดิจิทัลบนเดสก์ท็อป เช่น Electrum, Binance, Exodus และ Atomic รวมถึงส่วนขยายกระเป๋าเงินดิจิทัลมากกว่า 50 รายการ เช่น Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi และ BinanceChain

Atomic ยังขโมยข้อมูลเว็บเบราว์เซอร์ เช่น การป้อนอัตโนมัติ รหัสผ่าน คุกกี้ และข้อมูลบัตรเครดิตจาก Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera และ Vivaldi นอกจากนี้ยังสามารถรวบรวมข้อมูลระบบ เช่น ชื่อรุ่น, UUID ของฮาร์ดแวร์, ขนาด RAM, จำนวนคอร์, หมายเลขซีเรียล และอื่นๆ

นอกจากนี้ Atomic ยังช่วยให้ผู้ปฏิบัติงานสามารถขโมยไฟล์จากไดเร็กทอรี 'เดสก์ท็อป' และ 'เอกสาร' ของเหยื่อได้ แต่ก่อนอื่นจะต้องขออนุญาตเพื่อเข้าถึงไฟล์เหล่านี้ ซึ่งอาจเปิดโอกาสให้เหยื่อตรวจพบกิจกรรมที่เป็นอันตรายได้

หลังจากรวบรวมข้อมูล มัลแวร์จะบีบอัดข้อมูลเป็นไฟล์ ZIP และส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C&C) ของผู้คุกคาม เซิร์ฟเวอร์ C&C โฮสต์อยู่ที่ 'amos-malware[.]ru/sendlog.'

แม้ว่าในอดีต macOS มีแนวโน้มที่จะทำกิจกรรมที่เป็นอันตรายน้อยกว่าระบบปฏิบัติการอื่นๆ เช่น Windows แต่ปัจจุบันกลายเป็นเป้าหมายที่ได้รับความนิยมมากขึ้นสำหรับผู้คุกคามทุกระดับความสามารถ อาจเป็นเพราะจำนวนผู้ใช้ macOS ที่เพิ่มขึ้น โดยเฉพาะในภาคธุรกิจและองค์กร ทำให้เป็นเป้าหมายที่ร่ำรวยสำหรับอาชญากรไซเบอร์ที่ต้องการขโมยข้อมูลที่ละเอียดอ่อนหรือเข้าถึงระบบโดยไม่ได้รับอนุญาต ด้วยเหตุนี้ ผู้ใช้ macOS จึงต้องระมัดระวังและใช้มาตรการป้องกันที่จำเป็นเพื่อปกป้องอุปกรณ์ของตนจากภัยคุกคามเหล่านี้