Ένα νέο macOS malware, που κλέβει πληροφορίες (info-stealer) και ονομάζεται ‘Atomic’ (επίσης γνωστό ως ‘AMOS’), πωλείται σε κυβερνοεγκληματίες μέσω ιδιωτικών καναλιών στο Telegram, για $1.000 τον μήνα.
Οι αγοραστές / κυβερνοεγκληματίες λαμβάνουν ένα αρχείο DMG που περιέχει 64-bit Go-based malware σχεδιασμένο να επιτεθεί σε συστήματα macOS και να κλέψει κωδικούς πρόσβασης Keychain, αρχεία από το τοπικό σύστημα αρχείων, κωδικούς πρόσβασης, cookies και πιστωτικές κάρτες που αποθηκεύονται σε browser. Το κακόβουλο λογισμικό Atomic κλέβει, επίσης, δεδομένα από πάνω από 50 cryptocurrency extensions.
Επιπλέον, με τη συνδρομή $1.000 / μήνα, οι κυβερνοεγκληματίες λαμβάνουν ένα έτοιμο web panel για εύκολη διαχείριση θυμάτων, ένα MetaMask brute-forcer, ένα cryptocurrency checker, ένα dmg installer και τη δυνατότητα να λαμβάνουν κλεμμένα αρχεία καταγραφής στο Telegram.
Δείτε επίσης: Google Play: Παιχνίδια τύπου Minecraft με εκατομμύρια λήψεις έκρυβαν adware
 και ονομάζεται 'Atomic' (επίσης γνωστό ως 'AMOS'), πωλείται σε){kind=link}
Το macOS info-stealer ανακαλύφθηκε πρόσφατα από έναν ερευνητή της Trellix και ερευνητές της Cyble, οι οποίοι ανέλυσαν ένα δείγμα του “Atomic” malware και ανέφεραν ότι ο δημιουργός κυκλοφόρησε μια νέα έκδοση στις 25 Απριλίου 2023.
Η διανομή του Atomic macOS malware εξαρτάται από τον κυβερνοεγκληματία που το χρησιμοποιεί. Μπορεί να γίνεται μέσω phishing emails, μέσω κακόβουλων διαφημίσεων, μέσω αναρτήσεων σε κοινωνικά δίκτυα κλπ.
Atomic macOS malware
Το Atomic info-stealer παρέχει μια πλήρη γκάμα χαρακτηριστικών κλοπής δεδομένων, που επιτρέπουν περαιτέρω διείσδυση στο σύστημα-στόχο.
Μετά την εκτέλεση του κακόβουλου αρχείου dmg, το malware εμφανίζει ένα ψεύτικο παράθυρο εισαγωγής κωδικού πρόσβασης προκειμένου να αποκτήσει τον κωδικό του συστήματος και να αναλάβει τον έλεγχο του υπολογιστή του θύματος. Έτσι, ο επιτιθέμενος μπορεί να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες. Ωστόσο, μια μελλοντική ενημέρωση του Atomic macOS malware μπορεί να επιτρέψει την αλλαγή των ρυθμίσεων του συστήματος ή την εγκατάσταση πρόσθετων κακόβουλων payloads.
Μετά την πρώτη παραβίαση, το κακόβουλο λογισμικό επιχειρεί να εξαγάγει τον κωδικό πρόσβασης Keychain, τον ενσωματωμένο διαχειριστή κωδικών πρόσβασης του macOS που περιέχει κωδικούς πρόσβασης WiFi, συνδέσεις ιστότοπου, δεδομένα πιστωτικών καρτών και άλλες κρυπτογραφημένες πληροφορίες.
Δείτε επίσης: Η ομάδα BlueNoroff στοχεύει Apple συσκευές με το νέο RustBucket macOS malware
Έχοντας κάνει τα παραπάνω, το Atomic malware προχωρά στην εξαγωγή πληροφοριών από λογισμικό που εκτελείται στο μηχάνημα macOS που έχει παραβιαστεί, συμπεριλαμβανομένων των εξής:
Πληροφορίες συστήματος: Όνομα μοντέλου, hardware UUID, μέγεθος RAM, πλήθος πυρήνων, σειριακός αριθμός και άλλα.
Desktop cryptocurrency wallets: Electrum, Binance, Exodus, Atomic
Cryptocurrency wallet extensions: Όπως είπαμε και παραπάνω, επηρεάζονται πάνω από 50 επεκτάσεις, συμπεριλαμβανομένων των Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi και BinanceChain.
Web browser data: αυτόματη συμπλήρωση, κωδικοί πρόσβασης, cookies και πιστωτικές κάρτες από το Google Chrome, το Mozilla Firefox, το Microsoft Edge, το Yandex, το Opera και το Vivaldi.
Το Atomic macOS malware δίνει, επίσης, στους χειριστές τη δυνατότητα να κλέβουν αρχεία απευθείας από τους καταλόγους “Desktop” και “Documents“.
Ωστόσο, το κακόβουλο λογισμικό πρέπει να ζητήσει άδεια για την πρόσβαση σε αυτά τα αρχεία. Οπότε αυτό θα μπορούσε να βοηθήσει τα θύματα να συνειδητοποιήσουν την κακόβουλη δραστηριότητα.
Όταν κλέβει δεδομένα, το κακόβουλο λογισμικό Atomic θα τα συσκευάσει όλα σε ένα αρχείο ZIP και στη συνέχεια θα το στείλει στον command and control server του παράγοντα απειλής, ο οποίος λέει η Cyble βρίσκεται στο “amos-malware[.]ru/sendlog”.
Δείτε επίσης: Το νέο malware MacStealer κλέβει data και password από συστήματα macOS
Σύμφωνα με τον ερευνητή της Trellix, η διεύθυνση IP που σχετίζεται με τον command and control server του παράγοντα απειλής και το build name χρησιμοποιείται, επίσης, από το Raccoon Stealer, κάτι που δείχνει πιθανή σύνδεση των δύο κακόβουλων λειτουργιών.
Από εκεί, επιλεγμένες πληροφορίες και το αρχείο ZIP αποστέλλονται επίσης στο ιδιωτικό κανάλι Telegram του χειριστή.
Το macOS συχνά θεωρείται πιο ασφαλές από άλλα λειτουργικά συστήματα. Παρόλα αυτά, οι Threat Actors (TA) στοχεύουν συχνά πλατφόρμες macOS τα τελευταία χρόνια. Στο παρελθόν, υπήρξαν αρκετές περιπτώσεις όπου οι Threat Actors είχαν στοχεύσει χρήστες macOS με διάφορες οικογένειες κακόβουλου λογισμικού, συμπεριλαμβανομένων των MacStealer, RustBucket, DazzleSpy κ.λπ. Τώρα προστέθηκε και το Atomic.
Για να διατηρήσετε ασφαλή τη συσκευή Mac σας, πρέπει να ακολουθήσετε μερικά σημαντικά βήματα, όπως την εγκατάσταση ενός λογισμικού προστασίας από ιούς και την ενημέρωση του συστήματος και των εφαρμογών σας.
Πηγή: www.bleepingcomputer.com