Atomic Stealer

Cyberbeveiligingsexperts onthullen dat een bedreigingsactor een nieuwe malware verkoopt, de Atomic Stealer, op de berichtentoepassing Telegram. Deze malware is geschreven in Golang en is specifiek ontworpen om zich op macOS-platforms te richten en gevoelige informatie van de computer van het slachtoffer te stelen.

De dreigingsactor promoot actief de Atomic Stealer op Telegram, waar ze onlangs een update benadrukten met de nieuwste mogelijkheden van de dreiging. Deze malware voor het stelen van informatie vormt een ernstig risico voor macOS-gebruikers, omdat het gevoelige informatie kan compromitteren die op hun machines is opgeslagen, inclusief wachtwoorden en systeemconfiguraties. Details over de dreiging werden onthuld in een rapport van malware-onderzoekers.

De Atomic Stealer bezit een breed scala aan bedreigende mogelijkheden

De Atomic Stealer heeft verschillende functies voor gegevensdiefstal waarmee de operators dieper in het doelsysteem kunnen doordringen. Wanneer het onveilige dmg-bestand wordt uitgevoerd, geeft de malware een valse wachtwoordprompt weer om het slachtoffer te misleiden om zijn systeemwachtwoord op te geven, waardoor de aanvaller verhoogde rechten kan krijgen op de computer van het slachtoffer.

Dit is een noodzakelijke stap om toegang te krijgen tot gevoelige informatie, maar een toekomstige update kan deze gebruiken om cruciale systeeminstellingen te wijzigen of extra payloads te installeren. Na deze eerste aanval probeert de malware het Keychain-wachtwoord te extraheren, de ingebouwde wachtwoordbeheerder van macOS die versleutelde informatie opslaat, zoals wifi-wachtwoorden, website-aanmeldingen en creditcardgegevens.

De Atomic Stealer richt zich op meer dan 50 crypto-wallets

Zodra Atomic een macOS-machine heeft geschonden, kan het verschillende soorten informatie uit de software op het apparaat halen. De malware richt zich op desktop-cryptocurrency-wallets zoals Electrum, Binance, Exodus en Atomic zelf, evenals op meer dan 50 cryptocurrency-portemonnee-extensies, waaronder Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi en BinanceChain.

Atomic steelt ook webbrowsergegevens, zoals automatisch ingevulde gegevens, wachtwoorden, cookies en creditcardgegevens van Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera en Vivaldi. Bovendien kan het systeeminformatie verzamelen, zoals de modelnaam, hardware-UUID, RAM-grootte, aantal cores, serienummer en meer.

Bovendien stelt Atomic operators in staat om bestanden te stelen uit de mappen 'Desktop' en 'Documenten' van het slachtoffer, maar het moet eerst toestemming vragen om toegang te krijgen tot deze bestanden, wat de slachtoffers de kans kan bieden om de kwaadaardige activiteit te detecteren.

Na het verzamelen van de gegevens comprimeert de malware deze tot een ZIP-bestand en verzendt deze naar de Command-and-Control (C&C)-server van de bedreigingsactor. De C&C-server wordt gehost op 'amos-malware[.]ru/sendlog.'

Hoewel macOS van oudsher minder vatbaar is voor schadelijke activiteiten dan andere besturingssystemen zoals Windows, wordt het nu een steeds populairder doelwit voor bedreigingsactoren van alle vaardigheidsniveaus. Dit is waarschijnlijk te wijten aan het groeiende aantal macOS-gebruikers, met name in het bedrijfsleven, waardoor het een lucratief doelwit is voor cybercriminelen die gevoelige gegevens willen stelen of ongeoorloofde toegang tot systemen willen krijgen. Daarom moeten macOS-gebruikers waakzaam blijven en de nodige voorzorgsmaatregelen nemen om hun apparaten tegen deze bedreigingen te beschermen.