Atomic Stealer

Siber güvenlik uzmanları, bir tehdit aktörünün mesajlaşma uygulaması Telegram'da Atomic Stealer adlı yeni bir kötü amaçlı yazılım sattığını ortaya koyuyor. Bu kötü amaçlı yazılım Golang dilinde yazılmıştır ve özellikle macOS platformlarını hedeflemek için tasarlanmıştır ve kurbanın makinesinden hassas bilgileri çalabilir.

Tehdit aktörü, yakın zamanda tehdidin en son yeteneklerini sergileyen bir güncellemeyi vurguladıkları Telegram'da Atomic Stealer'ı aktif olarak tanıtıyor. Bu bilgi çalan kötü amaçlı yazılım, parolalar ve sistem yapılandırmaları dahil olmak üzere makinelerinde depolanan hassas bilgileri tehlikeye atabileceği için macOS kullanıcıları için ciddi bir risk oluşturuyor. Tehditle ilgili ayrıntılar, kötü amaçlı yazılım araştırmacıları tarafından hazırlanan bir raporda ortaya çıktı.

Atomic Stealer, Çok Çeşitli Tehdit Yeteneklerine Sahiptir

Atomic Stealer, operatörlerinin hedef sistemin derinliklerine nüfuz etmesini sağlayan çeşitli veri hırsızlığı özelliklerine sahiptir. Güvenli olmayan dmg dosyası yürütüldüğünde, kötü amaçlı yazılım, kurbanı kandırarak sistem parolasını sağlaması için sahte bir parola istemi görüntüler ve bu, saldırganın kurbanın makinesinde yükseltilmiş ayrıcalıklar elde etmesine olanak tanır.

Bu, hassas bilgilere erişmek için gerekli bir adımdır, ancak gelecekteki bir güncelleme bunu önemli sistem ayarlarını değiştirmek veya ek yükler yüklemek için kullanabilir. Bu ilk uzlaşmanın ardından kötü amaçlı yazılım, WiFi parolaları, web sitesi oturum açma bilgileri ve kredi kartı verileri gibi şifrelenmiş bilgileri depolayan macOS'un yerleşik parola yöneticisi olan Anahtar Zinciri parolasını çıkarmaya çalışır.

Atomic Stealer 50'den Fazla Kripto Cüzdanını Hedefliyor

Atomic, bir macOS makinesini ihlal ettiğinde, cihazdaki yazılımdan çeşitli türde bilgileri çıkarabilir. Kötü amaçlı yazılım, Electrum, Binance, Exodus ve Atomic gibi masaüstü kripto para cüzdanlarının yanı sıra Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi dahil 50'den fazla kripto para cüzdanı uzantısını hedefliyor. ve BinanceChain.

Atomic ayrıca Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera ve Vivaldi'den otomatik doldurmalar, şifreler, tanımlama bilgileri ve kredi kartı bilgileri gibi Web tarayıcısı verilerini çalar. Ayrıca model adı, donanım UUID'si, RAM boyutu, çekirdek sayısı, seri numarası ve daha fazlası gibi sistem bilgilerini toplayabilir.

Ek olarak Atomic, operatörlerin kurbanın 'Masaüstü' ve 'Belgeler' dizinlerinden dosyaları çalmasına olanak tanır, ancak önce bu dosyalara erişmek için izin istemesi gerekir, bu da kurbanların kötü niyetli etkinliği tespit etmesi için bir fırsat sağlayabilir.

Kötü amaçlı yazılım, verileri topladıktan sonra onu bir ZIP dosyasına sıkıştıracak ve tehdit aktörünün Komuta ve Kontrol (C&C) sunucusuna iletecektir. C&C sunucusu 'amos-malware[.]ru/sendlog' adresinde barındırılmaktadır.

macOS, tarihsel olarak Windows gibi diğer işletim sistemlerine göre zararlı faaliyetlere daha az eğilimli olsa da, artık her beceri seviyesindeki tehdit aktörleri için giderek daha popüler bir hedef haline geliyor. Bunun nedeni, özellikle iş ve kurumsal sektörlerde macOS kullanıcılarının sayısının artması, hassas verileri çalmak veya sistemlere yetkisiz erişim elde etmek isteyen siber suçlular için kazançlı bir hedef haline gelmesi olabilir. Sonuç olarak macOS kullanıcıları, cihazlarını bu tehditlere karşı korumak için tetikte olmalı ve gerekli önlemleri almalıdır.