Новий вірус для користувачів macOS вміє викрадати криптовалюту

Нове шкідливе ПЗ для крадіжки інформації з macOS-пристроїв під назвою «Atomic» (також відоме як «AMOS») наразі активно поширюється через приватні Telegram-канали за підписку в розмірі 1000 доларів на місяць.

За ці гроші покупці отримують файл «Setup.dmg», що містить 64-бітове шкідливе ПЗ на основі мови Go, призначене для крадіжки паролів від «Зв'язки ключів iCloud», файлів із локальної файлової системи, інших паролів, cookie-файлів і даних банківських карток, що зберігаються в браузерах.

Шкідлива програма також підтримує понад 50 різних браузерних розширень для управління криптовалютою.

Кіберзлочинці, які оплатили підписку на вірус, також отримують готову веб-панель для зручного управління жертвами, можливість вивантаження вкрадених даних у Telegram і багато-багато іншого.

Шкідливе ПЗ Atomic було виявлено зовсім недавно одним із дослідників Trellix, а також дослідницькою командою Cyble. Остання версія ПЗ датується 25 квітня цього року, що чітко дає зрозуміти, Atomic — проект, який активно розвивається.

На момент написання новини шкідливий файл Atomic у форматі «.dmg» майже не виявлявся на VirusTotal. Тільки 1 із 59 антивірусних модулів позначив його як шкідливий.

Atomic Stealer має великий набір функцій для крадіжки даних, надаючи своїм операторам розширені можливості для глибшого проникнення в цільову систему.

Під час виконання шкідливого файлу «Setup.dmg» шкідлива програма відображає фейкове вікно запиту системного пароля macOS, що має вигляд справжнього. Так зловмисники й отримують потрібний їм пароль, що дає змогу вірусу підвищити свої привілеї на скомпрометованому комп’ютері.

Після початкової компрометації шкідлива програма намагається витягти пароль від «Зв'язки ключів iCloud», вбудованого менеджера паролів macOS, який містить паролі Wi-Fi, логіни вебсайтів, дані банківських карт та іншу зашифровану інформацію.

Потім Atomic приступає до вилучення наступної інформації:

• Десктопні криптовалютні гаманці: Electrum, Binance, Exodus, Atomic.
• Браузерні розширення криптовалютних гаманців: загалом підтримується понад 50 розширень, включно з такими популярними, як Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi і BinanceChain.
• Дані веб-браузерів: автозаповнення, паролі, cookie-файли та банківські картки з Google Chrome, Mozilla Firefox, Microsoft Edge, Яндекс, Opera і Vivaldi.
• Системна інформація: назва моделі пристрою, апаратний UUID, розмір оперативної пам’яті, характеристики процесора, серійний номер та інші.

Хоча macOS все ще не є основною мішенню для хакерів, оскільки займає лише близько 15% ринку десктопних операційних систем (тоді як Windows — близько 75%), дослідники все частіше фіксують атаки зловмисників на macOS пристрої.