Siber güvenlik araştırmacıları, macOS bilgi hırsızlığının güncellenmiş bir sürümünü tespit etti. atomik (veya AMOS) bu durum, kötü amaçlı yazılımın arkasındaki tehdit aktörlerinin, yeteneklerini aktif olarak geliştirdiğini gösteriyor.
Malwarebytes’ten Jérôme Segura, “Atomic Stealer’ın Aralık 2023’ün ortasından sonuna doğru güncellendiği anlaşılıyor; geliştiricileri algılama kurallarını aşmak amacıyla veri yükü şifrelemesini tanıttı.” söz konusu Çarşamba raporunda.
Atomic Stealer ilk olarak Nisan 2023’te aylık 1.000 dolarlık abonelikle ortaya çıktı. Sahte bir istem yoluyla Anahtar Zinciri şifreleri, oturum çerezleri, dosyalar, kripto cüzdanlar, sistem meta verileri ve makinenin şifresi dahil olmak üzere güvenliği ihlal edilmiş bir ana bilgisayardan hassas bilgileri toplama kapasitesine sahiptir.
Geçtiğimiz birkaç ay boyunca kötü amaçlı yazılımın, meşru yazılım ve web tarayıcı güncellemeleri kisvesi altında kötü amaçlı reklamcılık ve güvenliği ihlal edilmiş siteler aracılığıyla yayıldığı gözlemlendi.
Malwarebytes’in son analizi, Atomic Stealer’ın şu anda aylık 3.000 $ gibi ağır bir kira ücreti karşılığında satıldığını, aktörlerin Noel’e denk gelen bir promosyonla kötü amaçlı yazılımı 2.000 $ indirimli fiyatla sunduğunu gösteriyor.
Güvenlik yazılımı tarafından tespit edilmesini engellemek için şifreleme eklemenin yanı sıra, Atomic Stealer’ı dağıtan kampanyalar küçük bir değişime uğradı; Slack’i taklit eden Google arama reklamları, işletim sistemine bağlı olarak Atomic Stealer’ı veya EugenLoader (aka FakeBat) adı verilen bir kötü amaçlı yazılım yükleyiciyi dağıtmak için kanal olarak kullanılıyor.
Eylül 2023’te tespit edilen bir kötü amaçlı reklam kampanyasının, Windows’tan ziyaret ediliyorsa NetSupport RAT ve işletim sistemi macOS ise Atomic Stealer sunmak için TradingView grafik platformuna yönelik sahte bir siteden yararlandığını belirtmekte fayda var.
Hileli Slack disk görüntüsü (DMG) dosyası açıldığında kurbandan sistem şifresini girmesini ister ve böylece tehdit aktörlerinin erişimi kısıtlı hassas bilgileri toplamasına olanak tanır. Yeni sürümün bir diğer önemli özelliği, çalınan bilgileri alan komuta ve kontrol sunucusunu gizlemek için gizleme yönteminin kullanılmasıdır.
Segura, “Hırsızlar Mac kullanıcıları için en büyük tehdit olmayı sürdürürken, yazılımların güvenilir yerlerden indirilmesi önemlidir” dedi. “Kötü amaçlı reklamlar ve tuzak siteler çok yanıltıcı olabilir ve kötü amaçlı yazılımın verilerinizi toplayıp sızdırması için yalnızca tek bir hata (şifrenizi girmek) yeterlidir.”