Güvenlik uzmanları, kayıtlı şifreler, kredi kartı numaraları ve 50’den fazla kripto para tarayıcı uzantısındaki veriler dahil olmak üzere hassas bilgileri çalmak için MacOS cihazlarını hedefleyen yeni bir kötü amaçlı yazılım hakkında uyarılarda bulundu.
‘Atomic’ olarak adlandırılan ve ‘AMOS’ olarak da bilinen tehdit, yasadışı malzeme ve içerik paylaşma platformu olarak ün yapmış, kötü şöhretli şifreli mesajlaşma uygulaması Telegram’da ayda 1.000 dolara satılıyor.
Kurbanlarını yönetmeye yardımcı olacak bir web paneli, bir MetaMask kaba kuvvet aracı, bir kripto para denetleyicisi, bir dmg yükleyici ve çalınan günlükleri alma yeteneği gibi tehdit aktörlerinin suçlarını gerçekleştirmelerini kolaylaştıran çeşitli özelliklerle birlikte gelir. Telegram’da.
tespit edilemez
Araştırmacılar her iki kafes (yeni sekmede açılır) Ve Cyble laboratuvarları (yeni sekmede açılır) kötü amaçlı yazılımı izliyor ve en son sürümün 25 Nisan’da yayınlandığını tespit ederek geliştirmelerin ve güncellemelerin devam ettiğini gösteriyor.
Dahası, virüsten koruma yazılımının %2’den azı dmg dosyasını kötü amaçlı olarak işaretlediğinden, aracın tespit edilmesi zorlaşıyor.
Tehdit aktörleri, kimlik avı e-postaları, sosyal medya gönderileri, kötü amaçlı reklam kampanyaları, kötü torrentler ve benzerleri gibi olağan yöntemlerle kullanıcılara kötü amaçlı yazılım bulaştırabilir.
Kurban, dmg dosyasını açtığında, kötü amaçlı yazılımın giriş elde etmek için çaldığı, cihazlarının ana parolasını girmeleri için sahte bir istem alır. Ardından, Apple’ın özel parola yöneticisi Anahtar Zincirinde kayıtlı kullanıcı bilgilerini çalmaya çalışır.
Daha sonra sistemde yüklü yazılımlardan, Electrum, Binance, Exodus ve Atomic gibi masaüstü kripto para cüzdanlarından ve Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty ve diğer 50 cüzdan uzantısından bilgi çalmaya çalışır. BinanceChain.
Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera ve Vivaldi’de kayıtlı şifreler ve ödeme kartları gibi web tarayıcısı verileri de çıkarılır. Model adı, seri numaraları, donanım UUID’si, RAM boyutu ve çekirdek sayısı gibi sistem bilgileri de taranır.
Atomic ayrıca doğrudan Masaüstü ve Belgeler klasörleri gibi dizinlerden dosya çalabilir. Ancak bunu yaparken, kötü amaçlı yazılımın sistemden izin istemesi gerekir ve bu izin kullanıcıya bildirilir, böylece bu onlara bulaşmayı tespit etme fırsatı verebilir.
Çalınan veriler bir zip dosyasına sıkıştırılır ve ilginç bir şekilde Raccoon Stealer tarafından kullanılanla aynı IP adresine sahip olan ve ikisi arasında bir bağlantı olduğunu düşündüren tehdit aktörünün komuta ve kontrol sunucusuna gönderilir.
Apple cihazları genellikle kötü amaçlı yazılımlarla Windows makineleri kadar hedeflenmez, ancak yakın tarihli bir rapor bu tür tehditlerin arttığını iddia ettiğinden, bu durum değişmeye başlıyor gibi görünüyor.