Atomic Stealer

Các chuyên gia an ninh mạng tiết lộ rằng một kẻ đe dọa đang bán một phần mềm độc hại mới có tên Atomic Stealer trên ứng dụng nhắn tin Telegram. Phần mềm độc hại này được viết bằng Golang và được thiết kế đặc biệt để nhắm mục tiêu vào các nền tảng macOS và có thể đánh cắp thông tin nhạy cảm từ máy của nạn nhân.

Tác nhân đe dọa đang tích cực quảng cáo Kẻ đánh cắp nguyên tử trên Telegram, nơi gần đây họ đã đánh dấu một bản cập nhật giới thiệu các khả năng mới nhất của mối đe dọa. Phần mềm độc hại đánh cắp thông tin này gây rủi ro nghiêm trọng cho người dùng macOS, vì nó có thể xâm phạm thông tin nhạy cảm được lưu trữ trên máy của họ, bao gồm cả mật khẩu và cấu hình hệ thống. Chi tiết về mối đe dọa đã được tiết lộ trong một báo cáo của các nhà nghiên cứu phần mềm độc hại.

Kẻ đánh cắp nguyên tử sở hữu nhiều khả năng đe dọa

Atomic Stealer có nhiều tính năng đánh cắp dữ liệu khác nhau cho phép những người vận hành nó thâm nhập sâu hơn vào hệ thống mục tiêu. Khi tệp dmg không an toàn được thực thi, phần mềm độc hại sẽ hiển thị lời nhắc mật khẩu giả để lừa nạn nhân cung cấp mật khẩu hệ thống của họ, điều này cho phép kẻ tấn công có được các đặc quyền nâng cao trên máy của nạn nhân.

Đây là bước cần thiết để truy cập thông tin nhạy cảm, nhưng bản cập nhật trong tương lai có thể sử dụng bước này để thay đổi cài đặt hệ thống quan trọng hoặc cài đặt tải trọng bổ sung. Sau thỏa hiệp ban đầu này, phần mềm độc hại sẽ cố gắng trích xuất mật khẩu Keychain, đây là trình quản lý mật khẩu tích hợp của macOS lưu trữ thông tin được mã hóa như mật khẩu WiFi, thông tin đăng nhập trang web và dữ liệu thẻ tín dụng.

Kẻ đánh cắp nguyên tử nhắm mục tiêu hơn 50 ví tiền điện tử

Sau khi Atomic xâm nhập vào máy macOS, nó có thể trích xuất nhiều loại thông tin khác nhau từ phần mềm trên thiết bị. Phần mềm độc hại nhắm mục tiêu vào các ví tiền điện tử trên máy tính để bàn như Electrum, Binance, Exodus và Atomic, cũng như hơn 50 tiện ích mở rộng ví tiền điện tử, bao gồm Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi và BinanceChain.

Atomic cũng đánh cắp dữ liệu trình duyệt Web, chẳng hạn như tự động điền, mật khẩu, cookie và thông tin thẻ tín dụng từ Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera và Vivaldi. Hơn nữa, nó có thể thu thập thông tin hệ thống như tên kiểu máy, UUID phần cứng, kích thước RAM, số lõi, số sê-ri, v.v.

Ngoài ra, Atomic cho phép người vận hành lấy cắp các tệp từ thư mục 'Máy tính để bàn' và 'Tài liệu' của nạn nhân, nhưng trước tiên, nó phải yêu cầu quyền truy cập các tệp này, điều này có thể tạo cơ hội cho nạn nhân phát hiện hoạt động độc hại.

Sau khi thu thập dữ liệu, phần mềm độc hại sẽ nén nó thành một tệp ZIP và truyền nó đến máy chủ Command-and-Control (C&C) của tác nhân đe dọa. Máy chủ C&C được lưu trữ tại 'amos-malware[.]ru/sendlog.'

Mặc dù macOS trước đây ít có xu hướng hoạt động gây hại hơn so với các hệ điều hành khác như Windows, nhưng giờ đây, nó đang trở thành mục tiêu ngày càng phổ biến của các tác nhân đe dọa ở mọi cấp độ kỹ năng. Điều này có thể là do số lượng người dùng macOS ngày càng tăng, đặc biệt là trong lĩnh vực kinh doanh và doanh nghiệp, khiến nó trở thành mục tiêu béo bở cho tội phạm mạng đang tìm cách đánh cắp dữ liệu nhạy cảm hoặc truy cập trái phép vào hệ thống. Do đó, người dùng macOS phải luôn cảnh giác và thực hiện các biện pháp phòng ngừa cần thiết để bảo vệ thiết bị của họ khỏi những mối đe dọa này.