Atomic macOS Stealer (AMOS), gizli bilgileri çalmak için macOS’a saldırabilen, bilgi çalan yeni bir kötü amaçlı yazılımdır.
Bu kötü amaçlı yazılım, tehdit aktörünün kötü amaçlı yazılımın reklamını yaptığı bir telgraf kanalında Cyble Research and Intelligence Labs (CRIL) tarafından keşfedildi. En son güncellemesinin 25 Nisan’da olduğu bildirildi.
Tehdit aktörü, web paneli, tohum ve özel anahtarlar için meta-maske kaba kuvveti, dmg yükleyici ve kripto denetleyici gibi ek hizmetlerin reklamını yaptı. Tehdit aktörü tarafından açıklandığı üzere, bu hizmetlerin maliyeti ayda 1000 dolardı.
Teknik Analiz
Kötü amaçlı yazılım “” adı altında bulundu.Kurulum.dmg, “ macOS’ta uygulama yüklemek için bir uzantı.
Daha ayrıntılı analizler, kötü amaçlı yazılımın yalnızca parolaları ve hassas dosyaları çalmakla kalmayıp, Wi-Fi parolalarını, kredi kartı bilgilerini ve otomatik doldurmalar, parolalar, çerezler ve diğer hassas bilgiler gibi tarayıcı tabanlı hassas verileri de çalabildiğini ortaya çıkardı.
Çalma kısmına geçmeden önce kötü amaçlı yazılım, kurbana sistem parolasını alması için bir Sahte parola istemi sağlar.
KeyChain, tüm kimlik bilgilerini, ağ kimliklerini, Wi-Fi parolalarını, yönetici parolalarını vb. depolamak için macOS’ta kullanılan uygulamadır; bu kötü amaçlı yazılım, Anahtar Zinciri Çıkarma (tüm yerleşik, bağlı ağ kimlik bilgileri, kredi kartı ayrıntıları ve macOS parolaları için anahtarlar) yeteneğine sahiptir.
Kripto Cüzdan Hırsızlığı
Kötü amaçlı yazılım ayrıca kripto cüzdanlarını hedefleyebilir ve Electrum, Binance, Atomic ve Exodus gibi Crypto cüzdanlarından hassas bilgileri çalabilir. Bu, Crypto cüzdan satıcıları tarafından müşterilerine kolay erişim için sağlanan tarayıcı uzantılarının bir listesi ile yapılır.
Kontrol Paneli Hizmetleri
Bu kötü amaçlı yazılımın alıcılarına, tehdit aktörü tarafından sağlanan bir eklenti hizmeti olan tüm bilgileri yönetebilecekleri bir yönetici paneli sunulabilir.
Tarayıcı Bilgileri Çıkarma
Otomatik Doldurma, Kredi kartları, parolalar ve tanımlama bilgileri gibi tarayıcı tabanlı hassas bilgiler bu kötü amaçlı yazılımla çalınabilir. Opera, Firefox, Chrome, Yandex, Edge ve Vivaldi gibi çeşitli tarayıcılardan dosyaları hedeflemek için yazılmıştır.
Masaüstü ve Belgeler Dosyası Kapma
Kötü amaçlı yazılım, kurban izin verirse “Masaüstü” ve “Belgeler” dizinlerinden dosyaları çalar. İzin verildiğinde, kötü amaçlı yazılım bu dizinlerdeki dosyaları çalar ve bunları C&C sunucusunda depolar.
Donanım Bilgileri
UUID, Cihaz modeli adı, RAM boyutu, Çekirdekler, Seri numarası gibi sistem donanımı bilgileri ve diğer bilgiler bu kötü amaçlı yazılım tarafından çalınabilir.
Çalınan Bilgilerin İşlenmesi
Kötü amaçlı yazılım tüm bu bilgileri topladığında, veriler sıkıştırılır ve hırsızlığın bir parçası olarak base64 olarak kodlanır. Bu zip dosyası daha sonra “hxxp[:]//amos-kötü amaçlı yazılım[.]ru/sendlog” C&C sunucusu olarak işlev görür.
Telegram ile Yapılandırma
En önemli işlevsellik, bu kötü amaçlı yazılımın, kötü amaçlı yazılımın etkinliğine ilişkin günlükleri alan bir Telegram kanalıyla yapılandırılabilmesidir. Buna çerezlerin, cüzdanların, şifrelerin ve diğer bilgilerin sayısı dahildir.
Cyble, bu kötü amaçlı yazılım hakkında eksiksiz bir analiz raporu yayınladı. macOS’un güvenli ve güvenilir olduğu söylense de kuruluşların tehdit aktörlerine karşı güvende olması önerilir.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin