Atomic Stealer

Експерти з кібербезпеки виявили, що загрозливий суб’єкт продає нове шкідливе програмне забезпечення під назвою Atomic Stealer у програмі обміну повідомленнями Telegram. Це зловмисне програмне забезпечення написано мовою Golang і спеціально розроблено для платформ macOS і може викрасти конфіденційну інформацію з комп’ютера жертви.

Актор загрози активно просуває Atomic Stealer у Telegram, де нещодавно висвітлили оновлення, що демонструє останні можливості загрози. Це зловмисне програмне забезпечення, що викрадає інформацію, становить серйозний ризик для користувачів macOS, оскільки може зламати конфіденційну інформацію, яка зберігається на їхніх машинах, зокрема паролі та конфігурації системи. Подробиці про загрозу були розкриті у звіті дослідників шкідливого ПЗ.

Atomic Stealer володіє широким спектром загрозливих можливостей

Atomic Stealer має різні функції крадіжки даних, які дозволяють його операторам проникати глибше в цільову систему. Коли виконується небезпечний файл dmg, зловмисне програмне забезпечення відображає запит на підроблений пароль, щоб обманом змусити жертву надати свій системний пароль, що дозволяє зловмисникові отримати підвищені привілеї на комп’ютері жертви.

Це необхідний крок для доступу до конфіденційної інформації, але в майбутньому оновленні може використовуватися для зміни важливих налаштувань системи або встановлення додаткових корисних навантажень. Після цього початкового компромісу зловмисне програмне забезпечення намагається отримати пароль Keychain, який є вбудованим у macOS менеджером паролів, який зберігає зашифровану інформацію, таку як паролі Wi-Fi, логіни веб-сайтів і дані кредитних карток.

Atomic Stealer націлений на понад 50 крипто-гаманців

Щойно Atomic зламав машину macOS, він може витягувати різні типи інформації з програмного забезпечення на пристрої. Зловмисне програмне забезпечення націлено на настільні криптовалютні гаманці, такі як Electrum, Binance, Exodus і сам Atomic, а також понад 50 розширень криптовалютних гаманців, включаючи Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi і BinanceChain.

Atomic також викрадає дані веб-браузера, такі як автозаповнення, паролі, файли cookie та інформацію про кредитні картки з Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera та Vivaldi. Крім того, він може збирати інформацію про систему, як-от назву моделі, апаратний UUID, розмір оперативної пам’яті, кількість ядер, серійний номер тощо.

Крім того, Atomic дозволяє операторам викрадати файли з каталогів «Робочий стіл» і «Документи» жертви, але спочатку він повинен запитати дозвіл на доступ до цих файлів, що може надати жертвам можливість виявити зловмисну активність.

Після збору даних зловмисне програмне забезпечення стисне їх у ZIP-файл і передасть на сервер командування та керування (C&C) зловмисника. Сервер C&C розміщено за адресою 'amos-malware[.]ru/sendlog.'

Хоча macOS історично була менш схильною до шкідливої діяльності, ніж інші операційні системи, такі як Windows, тепер вона стає все більш популярною мішенню для загрозливих акторів усіх рівнів кваліфікації. Ймовірно, це пов’язано зі зростанням кількості користувачів macOS, особливо в бізнесі та корпоративному секторі, що робить її прибутковою ціллю для кіберзлочинців, які прагнуть викрасти конфіденційні дані або отримати несанкціонований доступ до систем. Тому користувачі macOS повинні бути пильними та вживати необхідних заходів, щоб захистити свої пристрої від цих загроз.