Atomic Stealer
Ibinunyag ng mga eksperto sa cybersecurity na ang isang banta na aktor ay nagbebenta ng bagong malware na tinatawag na Atomic Stealer sa messaging application, Telegram. Ang malware na ito ay nakasulat sa Golang at partikular na idinisenyo upang i-target ang mga platform ng macOS at maaaring magnakaw ng sensitibong impormasyon mula sa makina ng biktima.
Ang threat actor ay aktibong nagpo-promote ng Atomic Stealer sa Telegram, kung saan nag-highlight sila kamakailan ng update na nagpapakita ng pinakabagong mga kakayahan ng pagbabanta. Ang malware na ito na nagnanakaw ng impormasyon ay nagpapakita ng malubhang panganib sa mga gumagamit ng macOS, dahil maaari nitong ikompromiso ang sensitibong impormasyon na nakaimbak sa kanilang mga makina, kabilang ang mga password at mga configuration ng system. Ang mga detalye tungkol sa banta ay inihayag sa isang ulat ng mga mananaliksik ng malware.
Ang Atomic Stealer ay May Malawak na Saklaw ng Mga Kakayahang Pagbabanta
Ang Atomic Stealer ay may iba't ibang data-theft feature na nagbibigay-daan sa mga operator nito na makapasok nang mas malalim sa target system. Kapag ang hindi ligtas na dmg file ay naisakatuparan, ang malware ay nagpapakita ng isang pekeng password prompt upang linlangin ang biktima sa pagbibigay ng kanilang system password, na nagpapahintulot sa umaatake na makakuha ng mataas na mga pribilehiyo sa makina ng biktima.
Ito ay isang kinakailangang hakbang upang ma-access ang sensitibong impormasyon, ngunit maaaring gamitin ito ng isang pag-update sa hinaharap upang baguhin ang mga mahahalagang setting ng system o mag-install ng mga karagdagang payload. Pagkatapos ng paunang kompromiso na ito, sinusubukan ng malware na kunin ang Keychain password, na siyang built-in na password manager ng macOS na nag-iimbak ng naka-encrypt na impormasyon gaya ng mga WiFi password, pag-login sa website at data ng credit card.
Tinatarget ng Atomic Stealer ang Higit sa 50 Crypto-Wallet
Sa sandaling nilabag ng Atomic ang isang macOS machine, maaari itong kumuha ng iba't ibang uri ng impormasyon mula sa software sa device. Tina-target ng malware ang mga desktop cryptocurrency wallet tulad ng Electrum, Binance, Exodus, at Atomic mismo, pati na rin ang higit sa 50 cryptocurrency wallet extension, kabilang ang Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi at BinanceChain.
Nagnanakaw din ang Atomic ng data ng Web browser, gaya ng mga auto-fill, password, cookies, at impormasyon ng credit card mula sa Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera, at Vivaldi. Bukod dito, maaari itong mangolekta ng impormasyon ng system tulad ng pangalan ng modelo, UUID ng hardware, laki ng RAM, bilang ng core, serial number at higit pa.
Bukod pa rito, binibigyang-daan ng Atomic ang mga operator na magnakaw ng mga file mula sa mga direktoryo ng 'Desktop' at 'Mga Dokumento' ng biktima, ngunit dapat muna itong humiling ng pahintulot upang ma-access ang mga file na ito, na maaaring magbigay ng pagkakataon para sa mga biktima na matukoy ang malisyosong aktibidad.
Pagkatapos mangalap ng data, i-compress ito ng malware sa isang ZIP file at ipapadala ito sa Command-and-Control (C&C) server ng threat actor. Ang server ng C&C ay naka-host sa 'amos-malware[.]ru/sendlog.'
Bagama't ang macOS sa kasaysayan ay hindi gaanong madaling kapitan sa mapaminsalang aktibidad kaysa sa iba pang mga operating system tulad ng Windows, ito ngayon ay nagiging mas sikat na target para sa mga aktor ng pagbabanta sa lahat ng antas ng kasanayan. Ito ay malamang dahil sa dumaraming bilang ng mga gumagamit ng macOS, partikular sa mga sektor ng negosyo at enterprise, na ginagawa itong isang kapaki-pakinabang na target para sa mga cybercriminal na naghahanap na magnakaw ng sensitibong data o makakuha ng hindi awtorisadong pag-access sa mga system. Bilang resulta, ang mga gumagamit ng macOS ay dapat manatiling mapagbantay at gumawa ng mga kinakailangang pag-iingat upang maprotektahan ang kanilang mga device mula sa mga banta na ito.
