Atomic Stealer

Experții în securitate cibernetică dezvăluie că un actor de amenințări vinde un nou malware numit Atomic Stealer în aplicația de mesagerie, Telegram. Acest malware este scris în Golang și este conceput special pentru a viza platformele macOS și poate fura informații sensibile de pe computerul victimei.

Actorul amenințării promovează în mod activ Atomic Stealer pe Telegram, unde a evidențiat recent o actualizare care prezintă cele mai recente capacități ale amenințării. Acest malware care fură informații prezintă un risc serios pentru utilizatorii macOS, deoarece poate compromite informațiile sensibile care sunt stocate pe computerele lor, inclusiv parolele și configurațiile sistemului. Detalii despre amenințare au fost dezvăluite într-un raport al cercetătorilor de malware.

Atomic Stealer posedă o gamă largă de capacități de amenințare

Atomic Stealer are diverse caracteristici de furt de date care permit operatorilor săi să pătrundă mai adânc în sistemul țintă. Când fișierul dmg nesigur este executat, malware-ul afișează o parolă falsă pentru a păcăli victima să-și furnizeze parola de sistem, ceea ce permite atacatorului să obțină privilegii ridicate pe computerul victimei.

Acesta este un pas necesar pentru a accesa informații sensibile, dar o actualizare viitoare îl poate folosi pentru a modifica setările esențiale ale sistemului sau pentru a instala încărcături suplimentare. După acest compromis inițial, malware-ul încearcă să extragă parola Keychain, care este managerul de parole încorporat al macOS care stochează informații criptate, cum ar fi parolele WiFi, autentificarea site-ului web și datele cărților de credit.

The Atomic Stealer vizează peste 50 de cripto-portefe

Odată ce Atomic a spart o mașină macOS, poate extrage diferite tipuri de informații din software-ul de pe dispozitiv. Programul malware vizează portofelele de criptomonede desktop precum Electrum, Binance, Exodus și Atomic în sine, precum și peste 50 de extensii de portofel de criptomonede, inclusiv Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi și BinanceChain.

Atomic fură, de asemenea, datele browserului web, cum ar fi completările automate, parolele, modulele cookie și informațiile despre cardul de credit din Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera și Vivaldi. În plus, poate colecta informații despre sistem, cum ar fi numele modelului, UUID-ul hardware, dimensiunea RAM, numărul de nuclee, numărul de serie și multe altele.

În plus, Atomic permite operatorilor să fure fișiere din directoarele „Desktop” și „Documente” ale victimei, dar mai întâi trebuie să solicite permisiunea de a accesa aceste fișiere, ceea ce poate oferi victimelor o oportunitate de a detecta activitatea rău intenționată.

După strângerea datelor, malware-ul îl va comprima într-un fișier ZIP și îl va transmite serverului de comandă și control (C&C) al actorului amenințării. Serverul C&C este găzduit la „amos-malware[.]ru/sendlog”.

În timp ce macOS a fost istoric mai puțin predispus la activități dăunătoare decât alte sisteme de operare precum Windows, acum devine o țintă din ce în ce mai populară pentru actorii amenințărilor de toate nivelurile de calificare. Acest lucru se datorează probabil numărului tot mai mare de utilizatori macOS, în special în sectoarele de afaceri și întreprinderi, ceea ce îl face o țintă profitabilă pentru infractorii cibernetici care doresc să fure date sensibile sau să obțină acces neautorizat la sisteme. Drept urmare, utilizatorii macOS trebuie să rămână vigilenți și să ia măsurile de precauție necesare pentru a-și proteja dispozitivele de aceste amenințări.