‘Atomic’ (‘AMOS’ olarak da bilinir) adlı yeni bir macOS bilgi hırsızlığı kötü amaçlı yazılımı, özel Telegram kanalları aracılığıyla aylık 1.000 ABD dolarına abonelik karşılığında siber suçlulara satılıyor.
Alıcılar, bu yüksek fiyat karşılığında, macOS sistemlerini hedeflemek ve anahtarlık parolalarını, yerel dosya sistemindeki dosyaları, parolaları, tanımlama bilgilerini ve tarayıcılarda depolanan kredi kartlarını çalmak için tasarlanmış 64 bit Go tabanlı kötü amaçlı bir yazılım içeren bir DMG dosyası alıyor.
Kötü amaçlı yazılım ayrıca, bilgi çalan kötü amaçlı yazılımlar için popüler bir hedef haline gelen 50’den fazla kripto para birimi uzantısından veri çalmaya çalışır.
Fiyat karşılığında, siber suçlular ayrıca kolay kurban yönetimi için kullanıma hazır bir web paneli, bir MetaMask brute-forcer, bir kripto para denetleyicisi, bir dmg yükleyici ve Telegram’da çalınan günlükleri alma yeteneği elde ediyor.
Kötü amaçlı yazılım kısa süre önce bir Trellix araştırmacısı ve bir ‘Atomic’ örneğini analiz eden ve yazarın 25 Nisan 2023’te yeni bir sürüm yayınladığını bildiren Cyble laboratuvarlarındaki araştırmacılar, yani bu aktif olarak geliştirilmiş bir proje.
Yazma sırasında, kötü amaçlı dmg dosyası, 59 AV motorundan yalnızca birinin onu kötü amaçlı olarak işaretlediği VirusTotal’da büyük ölçüde algılanmaz.
Dağıtımına gelince, alıcılar kimlik avı e-postaları, kötü amaçlı reklamcılık, sosyal medya gönderileri, anlık mesajlar, kara SEO, bağlantılı torrentler ve daha fazlasını içerebilecek kendi kanallarını oluşturmaktan sorumludur.
atomik özellikler
Atomic Stealer, operatörlerine hedef sisteme daha derine girmeleri için gelişmiş fırsatlar sağlayan kapsamlı bir veri hırsızlığı özellikleri dizisine sahiptir.
Kötü amaçlı dmg dosyasını çalıştırdıktan sonra, kötü amaçlı yazılım, dosyayı elde etmek için sahte bir parola istemi görüntüler. sistem şifresisaldırganın kurbanın makinesinde yükseltilmiş ayrıcalıklar kazanmasına izin verir.
Bu, hassas bilgilere erişim için bir gerekliliktir, ancak gelecekteki bir güncelleme, sistem ayarlarını değiştirmek veya ek yükler yüklemek için de bundan yararlanabilir.
Bu ilk uzlaşmadan sonra, kötü amaçlı yazılım, Anahtarlık şifresiWiFi şifrelerini, web sitesi girişlerini, kredi kartı verilerini ve diğer şifrelenmiş bilgileri tutan macOS’un yerleşik şifre yöneticisi.
Yukarıdakileri yaptıktan sonra Atomic, ihlal edilen macOS makinesinde çalışan yazılımdan aşağıdakiler dahil olmak üzere bilgileri çıkarmaya devam eder:
- Masaüstü kripto para cüzdanları: Electrum, Binance, Exodus, Atomik
- Cryptocurrency cüzdan uzantıları: Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi ve BinanceChain dahil olmak üzere toplamda 50 uzantı hedefleniyor.
- Web tarayıcı verileri: Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera ve Vivaldi’den otomatik doldurmalar, şifreler, tanımlama bilgileri ve kredi kartları.
- Sistem bilgisi: Model adı, donanım UUID’si, RAM boyutu, çekirdek sayısı, seri numarası ve diğerleri.
Atomic ayrıca operatörlere doğrudan kurbanın ‘Masaüstü’ ve ‘Belgeler’ dizinlerinden dosya çalma yeteneği verir.
Bununla birlikte, kötü amaçlı yazılımın bu dosyalara erişmek için izin istemesi gerekir, bu da kurbanların kötü niyetli etkinliği gerçekleştirmesi için bir fırsat yaratır.
Kötü amaçlı yazılım verileri çalarken hepsini bir ZIP dosyasına paketler ve ardından Cyble’ın “amos-malware” konumunda bulunduğunu söylediği tehdit aktörünün komuta ve kontrol sunucusuna gönderir.[.]ru/sendlog.”
Oradan seçilen bilgiler ve ZIP arşivi de operatörün özel Telegram kanalına gönderilir.
macOS, Windows gibi kötü amaçlı bilgi hırsızı etkinliğinin merkez üssünde yer almasa da, her beceri seviyesindeki tehdit aktörleri tarafından giderek daha fazla hedef alınıyor.
Kuzey Koreli bir APT grubu kısa süre önce 3CX tedarik zinciri saldırısında yeni bir macOS bilgi hırsızı kullandı ve bu, Mac’lerin artık devlet destekli bilgisayar korsanlığı grupları için bile bir hedef olduğunu gösterdi.