Atomic Stealer

Gli esperti di sicurezza informatica rivelano che un attore di minacce sta vendendo un nuovo malware chiamato Atomic Stealer sull'applicazione di messaggistica, Telegram. Questo malware è scritto in Golang ed è specificamente progettato per prendere di mira le piattaforme macOS e può rubare informazioni sensibili dal computer della vittima.

L'attore della minaccia sta promuovendo attivamente l'Atomic Stealer su Telegram, dove hanno recentemente evidenziato un aggiornamento che mostra le ultime funzionalità della minaccia. Questo malware che ruba informazioni rappresenta un serio rischio per gli utenti macOS, in quanto può compromettere le informazioni sensibili archiviate sui loro computer, incluse password e configurazioni di sistema. I dettagli sulla minaccia sono stati rivelati in un rapporto dei ricercatori di malware.

Atomic Stealer possiede un'ampia gamma di capacità minacciose

Atomic Stealer ha varie funzionalità di furto di dati che consentono ai suoi operatori di penetrare più a fondo nel sistema bersaglio. Quando viene eseguito il file dmg non sicuro, il malware visualizza una richiesta di password falsa per indurre la vittima a fornire la propria password di sistema, che consente all'attaccante di ottenere privilegi elevati sulla macchina della vittima.

Questo è un passaggio necessario per accedere a informazioni sensibili, ma un aggiornamento futuro potrebbe utilizzarlo per modificare impostazioni di sistema cruciali o installare payload aggiuntivi. Dopo questa compromissione iniziale, il malware tenta di estrarre la password del portachiavi, che è il gestore di password integrato di macOS che memorizza informazioni crittografate come password WiFi, accessi a siti Web e dati della carta di credito.

Atomic Stealer prende di mira oltre 50 cripto-portafogli

Una volta che Atomic ha violato una macchina macOS, può estrarre vari tipi di informazioni dal software sul dispositivo. Il malware prende di mira portafogli di criptovaluta desktop come Electrum, Binance, Exodus e lo stesso Atomic, nonché oltre 50 estensioni di portafogli di criptovaluta, tra cui Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi e BinanceChain.

Atomic ruba anche dati del browser Web, come compilazioni automatiche, password, cookie e informazioni sulla carta di credito da Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera e Vivaldi. Inoltre, può raccogliere informazioni di sistema come il nome del modello, l'UUID dell'hardware, la dimensione della RAM, il numero di core, il numero di serie e altro.

Inoltre, Atomic consente agli operatori di rubare file dalle directory "Desktop" e "Documenti" della vittima, ma deve prima richiedere l'autorizzazione per accedere a questi file, il che può fornire alle vittime l'opportunità di rilevare l'attività dannosa.

Dopo aver raccolto i dati, il malware li comprimerà in un file ZIP e li trasmetterà al server Command-and-Control (C&C) dell'autore della minaccia. Il server C&C è ospitato su 'amos-malware[.]ru/sendlog.'

Mentre macOS è stato storicamente meno soggetto ad attività dannose rispetto ad altri sistemi operativi come Windows, ora sta diventando un obiettivo sempre più popolare per gli attori delle minacce di tutti i livelli di abilità. Ciò è probabilmente dovuto al crescente numero di utenti macOS, in particolare nei settori aziendali e aziendali, che lo rendono un obiettivo redditizio per i criminali informatici che cercano di rubare dati sensibili o ottenere l'accesso non autorizzato ai sistemi. Di conseguenza, gli utenti macOS devono rimanere vigili e prendere le precauzioni necessarie per proteggere i propri dispositivi da queste minacce.