Atomic Stealer

Os especialistas em segurança cibernética revelam que um agente de ameaças está vendendo um novo malware chamado Atomic Stealer no aplicativo de mensagens Telegram. Esse malware foi escrito em Golang e foi projetado especificamente para atingir plataformas macOS e pode roubar informações confidenciais da máquina da vítima.

O agente da ameaça está promovendo ativamente o Atomic Stealer no Telegram, onde recentemente destacou uma atualização que mostra os recursos mais recentes da ameaça. Esse malware de roubo de informações representa um sério risco para os usuários do macOS, pois pode comprometer informações confidenciais armazenadas em suas máquinas, incluindo senhas e configurações do sistema. Detalhes sobre a ameaça foram revelados em um relatório de pesquisadores de malware.

O Atomic Stealer Possui uma Ampla Gama de Recursos Ameaçadores

O Atomic Stealer possui vários recursos de roubo de dados que permitem que seus operadores penetrem mais profundamente no sistema de destino. Quando o arquivo dmg inseguro é executado, o malware exibe um aviso de senha falsa para induzir a vítima a fornecer a senha do sistema, o que permite ao invasor obter privilégios elevados na máquina da vítima.

Esta é uma etapa necessária para acessar informações confidenciais, mas uma atualização futura pode usá-la para alterar configurações cruciais do sistema ou instalar cargas úteis adicionais. Após esse comprometimento inicial, o malware tenta extrair a senha do Keychain, que é o gerenciador de senhas integrado do macOS que armazena informações criptografadas, como senhas de Wi-Fi, logins de sites e dados de cartão de crédito.

O Atomic Stealer Tem como Alvo Mais de 50 Carteiras de Moeda Digital

Depois que o Atomic invadiu uma máquina macOS, ele pode extrair vários tipos de informações do software no dispositivo. O malware tem como alvo carteiras de cripto-moedas de desktop como Electrum, Binance, Exodus e o próprio Atomic, bem como mais de 50 extensões de carteira de criptomoedas, incluindo Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi e BinanceChain.

O Atomic também rouba dados do navegador da Web, como preenchimentos automáticos, senhas, cookies e informações de cartão de crédito do Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera e Vivaldi. Além disso, ele pode coletar informações do sistema, como nome do modelo, UUID de hardware, tamanho da RAM, contagem de núcleos, número de série e muito mais.

Além disso, o Atomic permite que os operadores roubem arquivos dos diretórios 'Desktop' e 'Documentos' da vítima, mas deve primeiro solicitar permissão para acessar esses arquivos, o que pode fornecer uma oportunidade para as vítimas detectarem a atividade maliciosa.

Depois de coletar os dados, o malware os compactará em um arquivo ZIP e os transmitirá ao servidor de Comando e Controle (C&C) do agente da ameaça. O servidor C&C está hospedado em 'amos-malware[.]ru/sendlog.'

Embora o macOS tenha sido historicamente menos propenso a atividades prejudiciais do que outros sistemas operacionais como o Windows, agora está se tornando um alvo cada vez mais popular para agentes de ameaças de todos os níveis de habilidade. Provavelmente, isso se deve ao número crescente de usuários do macOS, principalmente nos setores corporativo e empresarial, tornando-o um alvo lucrativo para cibercriminosos que buscam roubar dados confidenciais ou obter acesso não autorizado a sistemas. Como resultado, os usuários do macOS devem permanecer vigilantes e tomar as precauções necessárias para proteger seus dispositivos contra essas ameaças.