Atomic macOS Stealer (AMOS) adlı yeni bir macOS kötü amaçlı yazılımı, Cyble Research and Intelligence Labs (CRIL) tarafından bir Telegram kanalında keşfedildi. Bu macOS kötü amaçlı yazılımı AMOS, raporlara göre tarayıcı verilerine erişebilir ve parolaları, kripto cüzdan verilerini, sistem bilgilerini ve tarayıcı uzantısı verilerini çalabilir.
CRIL araştırmacıları, tehdit aktörlerinin macOS’un korunan duvarlarını etkilemeye yönelik başka bir çabası olan macOS kötü amaçlı yazılımı AMOS’u satan ve onaylayan satıcılar buldu. MacStaeler, RustBucket ve DazzleSpy gibi diğer kötü amaçlı yazılımlar da karanlık web pazarında bulundu. Bununla birlikte, macOS kötü amaçlı yazılımı AMOS, daha fazla özellik eklemek için güncellenme aşamasındaydı.
macOS kötü amaçlı yazılımı AMOS’un özellikleri
25 Nisan tarihli bir Telegram gönderisinde araştırmacılar, AMOS kötü amaçlı yazılımına macOS’a karşı daha yeni yetenekler eklendiğini keşfettiler. Ayda 1000 dolara satıldı.
Kötü amaçlı yazılım, bilgisayar korsanlarının kurbanların verilerini yönetebilmesi için bir web paneli, tohum ve özel anahtar hırsızlığı için meta maske kaba kuvvet yetenekleri, bir kripto denetleyici ve bir dmg yükleyici ile oluşturuldu.
macOS kötü amaçlı yazılımı AMOS’un kötü amaçlı etkinlikleri
Setup.dmg’nin örnek karması (SHA256) 15f39e53a2b4fa01f2c39ad29c7fe4c2fef6f24eff6fa46b8e77add58e7ac709 olarak analiz edildiğinde bunun FUD olduğu veya VirusTotal’da tamamen saptanamaz olduğu bulundu. Bu, macOS kötü amaçlı yazılımının kaçamak doğasına katkıda bulunur.
macOS kötü amaçlı yazılımı AMOS kullanılarak etkin cihaz istismarı örnekleri henüz bildirilmemiştir. Dosyayı yürüttükten sonra, kullanıcılardan aşağıda gösterildiği gibi şifrelerini girmeleri istenir –
macOS kötü amaçlı yazılımı yalnızca sistem parolalarını toplamakla kalmaz, aynı zamanda parola yönetim araçlarına da saldırır. Bunu kullanarak yapar ana_anahtarlık() anahtarlık işlevi, kimlik bilgilerini ve diğer hassas verileri macOS aygıtlarında depolayan parola yönetim sistemidir.
macOS kötü amaçlı yazılımı AMOS, kredi kartı verilerini çalar ve main_GrabWallets() dizinleri okuma ve kripto cüzdan verilerini çalma işlevi. Atomic, Binance, Electrum ve Exodus gibi kripto cüzdanlarına erişebilir.
Kötü amaçlı yazılım, tonlarca başka cüzdan arasında Ruby Wallet, Coin98 Wallet, Math Wallet, Station Wallet, Wombat – Ethereum ve EOS için Oyun cüzdanı, CWallet, Hycon Lite Client, Phantom ve XDCPay’i hedefliyor.
macOS’u hedefleyen AMOS kötü amaçlı yazılımı, Mozilla Firefox, Google Chrome, Opera, Vivaldi ve Microsoft Edge’den tarayıcı verilerini de çalabilir. Otomatik doldurma verilerine, tanımlama bilgilerine, kredi kartı bilgilerine ve şifrelere kötü amaçlı yazılım tarafından erişilebilir.
Tarayıcılar ve kripto cüzdanlarının yanı sıra, macOS kötü amaçlı yazılımı AMOS, işlevi kullanarak Masaüstü ve Belgeler dahil olmak üzere dizinleri dolaşabilir. main_FileGrabber() aşağıdaki resimde gösterildiği gibi:
Çalınan tüm sistem ve kullanıcı verileri bir ZIP dosyasına sıkıştırılabilir ve aynısı dışarı çıkarılmadan önce Base64 kullanılarak kodlanabilir. Sızdırılan veriler, siber suçlunun komuta ve kontrol sunucusuna URL – hxxp aracılığıyla gönderilebilir.[:]//amos-kötü amaçlı yazılım[.]ru/sendlog
Veriler, aşağıda gösterildiği gibi seçilen Telegram kanalına da gönderilebilir:
Uzlaşma göstergeleri arasında, etki alanı amos-kötü amaçlı yazılım[.]ru güvenlik araştırmacıları tarafından bulundu. macOS kötü amaçlı yazılımı AMOS’un indirilmesini önlemek için kullanıcıların biyometrik kimlik doğrulamayı etkinleştirmeleri ve indirme işlemlerine ve cihaza indirilecek uygulamalara dikkat etmeleri önerilir.