Atomic Stealer
كشف خبراء الأمن السيبراني عن قيام أحد الجهات الفاعلة في مجال التهديد ببيع برنامج ضار جديد يسمى Atomic Stealer على تطبيق المراسلة Telegram. تمت كتابة هذه البرامج الضارة بلغة Golang وهي مصممة خصيصًا لاستهداف منصات macOS ويمكنها سرقة المعلومات الحساسة من جهاز الضحية.
يروج ممثل التهديد بنشاط لـ Atomic Stealer على Telegram ، حيث سلطوا الضوء مؤخرًا على تحديث يعرض أحدث قدرات التهديد. تمثل هذه البرامج الضارة لسرقة المعلومات خطرًا كبيرًا على مستخدمي macOS ، حيث يمكنها اختراق المعلومات الحساسة المخزنة على أجهزتهم ، بما في ذلك كلمات المرور وتكوينات النظام. تم الكشف عن تفاصيل حول التهديد في تقرير صادر عن باحثي البرمجيات الخبيثة.
يمتلك السارق الذري نطاقًا واسعًا من قدرات التهديد
يحتوي Atomic Stealer على العديد من ميزات سرقة البيانات التي تمكن مشغليها من اختراق النظام المستهدف بشكل أعمق. عند تنفيذ ملف dmg غير الآمن ، يعرض البرنامج الضار مطالبة بكلمة مرور مزيفة لخداع الضحية لتقديم كلمة مرور النظام الخاصة بهم ، مما يسمح للمهاجم بالحصول على امتيازات عالية على جهاز الضحية.
هذه خطوة ضرورية للوصول إلى المعلومات الحساسة ، ولكن قد يستخدمها التحديث المستقبلي لتغيير إعدادات النظام المهمة أو تثبيت حمولات إضافية. بعد هذا الاختراق الأولي ، يحاول البرنامج الضار استخراج كلمة مرور Keychain ، وهي عبارة عن مدير كلمات مرور مدمج في macOS يقوم بتخزين المعلومات المشفرة مثل كلمات مرور WiFi وتسجيلات الدخول إلى مواقع الويب وبيانات بطاقة الائتمان.
يستهدف Atomic Stealer أكثر من 50 محفظة مشفرة
بمجرد اختراق Atomic لجهاز macOS ، يمكنه استخراج أنواع مختلفة من المعلومات من البرنامج الموجود على الجهاز. تستهدف البرامج الضارة محافظ العملات المشفرة على سطح المكتب مثل Electrum و Binance و Exodus و Atomic نفسها ، بالإضافة إلى أكثر من 50 امتدادًا لمحفظة العملة المشفرة ، بما في ذلك Trust Wallet و Exodus Web3 Wallet و Jaxx Liberty و Coinbase و Guarda و TronLink و Trezor Password Manager و Metamask و Yoroi و BinanceChain.
يسرق Atomic أيضًا بيانات مستعرض الويب ، مثل الملء التلقائي وكلمات المرور وملفات تعريف الارتباط ومعلومات بطاقة الائتمان من Google Chrome و Mozilla Firefox و Microsoft Edge و Yandex و Opera و Vivaldi. علاوة على ذلك ، يمكنه جمع معلومات النظام مثل اسم الطراز و UUID للجهاز وحجم ذاكرة الوصول العشوائي وعدد النواة والرقم التسلسلي والمزيد.
بالإضافة إلى ذلك ، تمكن Atomic المشغلين من سرقة الملفات من مجلدات "سطح المكتب" و "المستندات" الخاصة بالضحية ، ولكن يجب عليها أولاً طلب الإذن للوصول إلى هذه الملفات ، والتي يمكن أن توفر فرصة للضحايا لاكتشاف النشاط الضار.
بعد جمع البيانات ، ستقوم البرامج الضارة بضغطها في ملف ZIP ونقلها إلى خادم القيادة والتحكم (C&C) لممثل التهديد. تتم استضافة خادم C&C في "amos-malware [.] ru / sendlog."
في حين أن macOS كان تاريخياً أقل عرضة للنشاط الضار من أنظمة التشغيل الأخرى مثل Windows ، فقد أصبح الآن هدفًا شائعًا بشكل متزايد لممثلي التهديد من جميع مستويات المهارة. من المحتمل أن يكون هذا بسبب العدد المتزايد لمستخدمي macOS ، لا سيما في قطاعي الأعمال والمؤسسات ، مما يجعله هدفًا مربحًا لمجرمي الإنترنت الذين يسعون لسرقة البيانات الحساسة أو الحصول على وصول غير مصرح به إلى الأنظمة. نتيجة لذلك ، يجب أن يظل مستخدمو macOS يقظين وأن يتخذوا الاحتياطات اللازمة لحماية أجهزتهم من هذه التهديدات.
