Los actores de amenazas anuncian un nuevo ladrón de información para el sistema operativo macOS de Apple llamado Ladrón atómico de macOS (o AMOS) en Telegram por $ 1,000 por mes, uniéndose a MacStealer.
“El Atomic macOS Stealer puede robar varios tipos de información de la máquina de la víctima, incluidas las contraseñas del llavero, la información completa del sistema, los archivos del escritorio y la carpeta de documentos, e incluso la contraseña de macOS”, investigadores de Cyble. dicho en un informe técnico.
Entre otras características, se incluye su capacidad para extraer datos de navegadores web y billeteras de criptomonedas como Atomic, Binance, Coinomi, Electrum y Exodus. Los actores de amenazas que compran el ladrón a sus desarrolladores también reciben un panel web listo para usar para administrar a las víctimas.
El malware toma la forma de un archivo de imagen de disco sin firmar (Setup.dmg) que, cuando se ejecuta, insta a la víctima a ingresar su contraseña del sistema en un aviso falso para escalar los privilegios y llevar a cabo sus actividades maliciosas, una técnica también adoptada por MacStealer. .
El vector de intrusión inicial utilizado para entregar el malware no está claro de inmediato, aunque es posible que los usuarios sean manipulados para descargarlo y ejecutarlo bajo la apariencia de software legítimo.
El artefacto ladrón atómico, enviado a VirusTotal el 24 de abril de 2023, también lleva el nombre “Notion-7.0.6.dmg”, lo que sugiere que se propaga como la popular aplicación para tomar notas. Otras muestras desenterrado por MalwareHunterTeam se distribuyen como “Photoshop CC 2023.dmg” y “Navegador Tor.dmg.”
“El malware como Atomic macOS Stealer podría instalarse explotando vulnerabilidades o alojándose en sitios web de phishing”, señaló Cyble.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
Luego, Atomic procede a recopilar los metadatos del sistema, los archivos, el llavero de iCloud, así como la información almacenada en los navegadores web (por ejemplo, contraseñas, autocompletar, cookies, datos de tarjetas de crédito) y extensiones de billetera criptográfica, todo lo cual se comprime en un archivo ZIP y se envía. a un servidor remoto. Luego, el archivo ZIP de la información compilada se envía a los canales de Telegram preconfigurados.
El desarrollo es otra señal de que macOS se está convirtiendo cada vez más en un objetivo lucrativo más allá de los grupos de piratas informáticos de los estados nacionales para implementar malware ladrón, por lo que es imperativo que los usuarios solo descarguen e instalen software de fuentes confiables, habiliten la autenticación de dos factores, revisen los permisos de las aplicaciones y se abstengan. de abrir enlaces sospechosos recibidos a través de correos electrónicos o mensajes SMS.
About the Author
