Ngày 28 tháng 4 năm 2023Ravie Lakshmanan Bảo mật điểm cuối / Tiền điện tử
Những kẻ đe dọa đang quảng cáo một công cụ đánh cắp thông tin mới cho hệ điều hành Apple macOS có tên Kẻ đánh cắp macOS nguyên tử (hoặc AMOS) trên Telegram với giá 1.000 đô la mỗi tháng, tham gia cùng với MacStealer.
Các nhà nghiên cứu Cyble cho biết trong một báo cáo kỹ thuật: “ Atomic macOS Stealer có thể đánh cắp nhiều loại thông tin khác nhau từ máy của nạn nhân, bao gồm mật khẩu Keychain, thông tin hệ thống hoàn chỉnh, các tệp từ thư mục máy tính để bàn và tài liệu, thậm chí cả mật khẩu macOS.
Trong số các tính năng khác bao gồm khả năng trích xuất dữ liệu từ trình duyệt web và ví tiền điện tử như Atomic, Binance, Coinomi, Electrum và Exodus. Những kẻ đe dọa mua kẻ đánh cắp từ các nhà phát triển của nó cũng được cung cấp bảng điều khiển web sẵn sàng sử dụng để quản lý nạn nhân.
Phần mềm độc hại có dạng một tệp hình ảnh đĩa chưa được ký (Setup.dmg), khi được thực thi, sẽ thúc giục nạn nhân nhập mật khẩu hệ thống của họ trên một lời nhắc không có thật để leo thang đặc quyền và thực hiện các hoạt động độc hại của nó — một kỹ thuật cũng được MacStealer áp dụng .
Vectơ xâm nhập ban đầu được sử dụng để phân phối phần mềm độc hại ngay lập tức không rõ ràng, mặc dù có thể người dùng bị thao túng để tải xuống và thực thi nó dưới vỏ bọc của phần mềm hợp pháp.
Hiện vật của kẻ đánh cắp Atomic, được gửi tới VirusTotal vào ngày 24 tháng 4 năm 2023, cũng có tên “Notion-7.0.6.dmg”, cho thấy rằng nó đang được quảng cáo là ứng dụng ghi chú phổ biến. Các mẫu khác do MalwareHunterTeam khai quật được phân phối dưới dạng “Photoshop CC 2023.dmg” và “Tor Browser.dmg.”
“Phần mềm độc hại như Atomic macOS Stealer có thể được cài đặt bằng cách khai thác lỗ hổng hoặc lưu trữ trên các trang web lừa đảo,” Cyble lưu ý.
Sau đó, Atomic tiến hành thu thập siêu dữ liệu hệ thống, tệp, iCloud Keychain, cũng như thông tin được lưu trữ trong trình duyệt web (ví dụ: mật khẩu, tự động điền, cookie, dữ liệu thẻ tín dụng) và tiện ích mở rộng ví tiền điện tử, tất cả đều được nén vào kho lưu trữ ZIP và gửi đi đến một máy chủ từ xa. Sau đó, tệp ZIP của thông tin đã biên dịch sẽ được gửi đến các kênh Telegram được định cấu hình trước.
Sự phát triển này là một dấu hiệu khác cho thấy macOS đang ngày càng trở thành mục tiêu béo bở ngoài các nhóm hack quốc gia để triển khai phần mềm độc hại đánh cắp, khiến người dùng bắt buộc chỉ tải xuống và cài đặt phần mềm từ các nguồn đáng tin cậy, kích hoạt xác thực hai yếu tố, xem xét quyền của ứng dụng và hạn chế từ việc mở các liên kết đáng ngờ nhận được qua email hoặc tin nhắn SMS.
