Los investigadores de ciberseguridad han identificado una versión actualizada de un ladrón de información de macOS llamado Atómico (o AMOS), lo que indica que los actores de amenazas detrás del malware están mejorando activamente sus capacidades.
«Parece que Atomic Stealer se actualizó entre mediados y finales de diciembre de 2023, donde sus desarrolladores introdujeron el cifrado de carga útil en un esfuerzo por eludir las reglas de detección», Jérôme Segura de Malwarebytes. dicho en un informe del miércoles.
Atomic Stealer surgió por primera vez en abril de 2023 con una suscripción mensual de 1.000 dólares. Es capaz de recopilar información confidencial de un host comprometido, incluidas contraseñas de llavero, cookies de sesión, archivos, billeteras criptográficas, metadatos del sistema y la contraseña de la máquina a través de un mensaje falso.
En los últimos meses, se ha observado que el malware se propagó a través de publicidad maliciosa y sitios comprometidos bajo la apariencia de software legítimo y actualizaciones de navegadores web.
El último análisis de Malwarebytes muestra que Atomic Stealer ahora se vende por una considerable tarifa de alquiler de 3.000 dólares al mes, y los actores realizan una promoción coincidiendo con la Navidad, ofreciendo el malware a un precio con descuento de 2.000 dólares.
Además de incorporar cifrado para frustrar la detección por parte del software de seguridad, las campañas que distribuyen Atomic Stealer han experimentado un ligero cambio, en el que los anuncios de búsqueda de Google que se hacen pasar por Slack se utilizan como conductos para implementar Atomic Stealer o un cargador de malware llamado EugenLoader (también conocido como FakeBat) según el sistema operativo.
Vale la pena señalar que una campaña de publicidad maliciosa detectada en septiembre de 2023 aprovechó un sitio fraudulento para la plataforma de gráficos TradingView para entregar NetSupport RAT, si se visita desde Windows, y Atomic Stealer, si el sistema operativo es macOS.
El archivo malicioso de imagen de disco de Slack (DMG), al abrirse, solicita a la víctima que ingrese su contraseña del sistema, lo que permite a los actores de amenazas recopilar información confidencial de acceso restringido. Otro aspecto crucial de la nueva versión es el uso de ofuscación para ocultar el servidor de comando y control que recibe la información robada.
«Dado que los ladrones siguen siendo una de las principales amenazas para los usuarios de Mac, es importante descargar el software desde ubicaciones confiables», dijo Segura. «Sin embargo, los anuncios maliciosos y los sitios señuelo pueden ser muy engañosos y solo se necesita un único error (ingresar su contraseña) para que el malware recopile y extraiga sus datos».