Atomic Stealer

Kyberturvallisuusasiantuntijat paljastavat, että uhkatoimija myy uutta haittaohjelmaa nimeltä Atomic Stealer viestisovelluksessa Telegramissa. Tämä haittaohjelma on kirjoitettu Golangilla ja se on suunniteltu erityisesti kohdistamaan macOS-alustoille ja se voi varastaa arkaluontoisia tietoja uhrin koneelta.

Uhkatoimija mainostaa aktiivisesti Atomic Stealeriä Telegramissa, jossa he äskettäin korostivat päivitystä, joka esittelee uhan uusimmat ominaisuudet. Tämä tietoja varastava haittaohjelma muodostaa vakavan riskin macOS-käyttäjille, koska se voi vaarantaa heidän koneilleen tallennetut arkaluontoiset tiedot, kuten salasanat ja järjestelmäkokoonpanot. Yksityiskohdat uhasta paljastettiin haittaohjelmien tutkijoiden raportissa.

Atomic Stealerillä on laaja valikoima uhkaavia ominaisuuksia

Atomic Stealer -laitteessa on useita datavarkausominaisuuksia, joiden avulla sen käyttäjät voivat tunkeutua syvemmälle kohdejärjestelmään. Kun vaarallinen dmg-tiedosto suoritetaan, haittaohjelma näyttää väärennetyn salasanakehotteen huijatakseen uhrin antamaan järjestelmäsalasanansa, mikä antaa hyökkääjälle mahdollisuuden saada korkeammat oikeudet uhrin koneeseen.

Tämä on välttämätön vaihe arkaluontoisten tietojen saamiseksi, mutta tuleva päivitys saattaa käyttää sitä keskeisten järjestelmäasetusten muuttamiseen tai lisähyötykuormien asentamiseen. Tämän alkuperäisen kompromissin jälkeen haittaohjelma yrittää purkaa Keychain-salasanan, joka on macOS:n sisäänrakennettu salasananhallinta, joka tallentaa salattuja tietoja, kuten WiFi-salasanat, verkkosivustojen kirjautumiset ja luottokorttitiedot.

Atomic Stealer tähtää yli 50 kryptolompakkoon

Kun Atomic on murtanut macOS-koneen, se voi poimia erityyppisiä tietoja laitteen ohjelmistosta. Haittaohjelma kohdistuu työpöydän kryptovaluuttalompakoihin, kuten Electrum, Binance, Exodus ja itse Atomic, sekä yli 50 kryptovaluuttalompakkolaajennukseen, mukaan lukien Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Y Passwordoro, Metamask ja BinanceChain.

Atomic varastaa myös verkkoselaintietoja, kuten automaattisia täyttöjä, salasanoja, evästeitä ja luottokorttitietoja Google Chromesta, Mozilla Firefoxista, Microsoft Edgestä, Yandexistä, Operasta ja Vivaldista. Lisäksi se voi kerätä järjestelmätietoja, kuten mallin nimen, laitteiston UUID:n, RAM-muistin koon, ydinmäärän, sarjanumeron ja paljon muuta.

Lisäksi Atomic antaa operaattoreille mahdollisuuden varastaa tiedostoja uhrin "Työpöytä"- ja "Dokumentit"-hakemistoista, mutta sen on ensin pyydettävä lupa päästäkseen käsiksi näihin tiedostoihin, mikä voi tarjota uhreille mahdollisuuden havaita haitallinen toiminta.

Tietojen keräämisen jälkeen haittaohjelma pakkaa ne ZIP-tiedostoksi ja välittää ne uhkatekijän komento- ja ohjauspalvelimelle (C&C). C&C-palvelinta isännöidään osoitteessa "amos-malware[.]ru/sendlog".

Vaikka macOS on historiallisesti ollut vähemmän altis haitallisille toimille kuin muut käyttöjärjestelmät, kuten Windows, siitä on nyt tulossa yhä suositumpi kohde kaikentasoisille uhkatekijöille. Tämä johtuu todennäköisesti MacOS-käyttäjien kasvavasta määrästä erityisesti yritys- ja yrityssektorilla, mikä tekee siitä tuottoisen kohteen kyberrikollisille, jotka haluavat varastaa arkaluonteisia tietoja tai päästä luvatta järjestelmiin. Tämän seurauksena macOS-käyttäjien on pysyttävä valppaina ja ryhdyttävä tarvittaviin varotoimiin suojellakseen laitteitaan näiltä uhilta.