Atomic Stealer

Cybersicherheitsexperten enthüllen, dass ein Bedrohungsakteur eine neue Malware namens Atomic Stealer über die Messaging-Anwendung Telegram verkauft. Diese Malware ist in Golang geschrieben und wurde speziell für macOS-Plattformen entwickelt und kann vertrauliche Informationen vom Computer des Opfers stehlen.

Der Bedrohungsakteur wirbt aktiv für den Atomic Stealer auf Telegram, wo er kürzlich ein Update hervorhob, das die neuesten Fähigkeiten der Bedrohung präsentiert. Diese Malware, die Informationen stiehlt, stellt ein ernsthaftes Risiko für macOS-Benutzer dar, da sie vertrauliche Informationen kompromittieren kann, die auf ihren Computern gespeichert sind, einschließlich Passwörtern und Systemkonfigurationen. Details über die Bedrohung wurden in einem Bericht von Malware-Forschern enthüllt.

Der Atomic Stealer besitzt ein breites Spektrum an Bedrohungsfähigkeiten

Der Atomic Stealer verfügt über verschiedene Datendiebstahlfunktionen, die es seinen Bedienern ermöglichen, tiefer in das Zielsystem einzudringen. Wenn die unsichere dmg-Datei ausgeführt wird, zeigt die Malware eine gefälschte Passwortabfrage an, um das Opfer dazu zu bringen, sein Systempasswort anzugeben, wodurch der Angreifer erhöhte Berechtigungen auf dem Computer des Opfers erlangen kann.

Dies ist ein notwendiger Schritt, um auf vertrauliche Informationen zuzugreifen, aber ein zukünftiges Update kann ihn verwenden, um wichtige Systemeinstellungen zu ändern oder zusätzliche Payloads zu installieren. Nach dieser anfänglichen Kompromittierung versucht die Malware, das Schlüsselbund-Passwort zu extrahieren, den in macOS integrierten Passwort-Manager, der verschlüsselte Informationen wie WLAN-Passwörter, Website-Logins und Kreditkartendaten speichert.

Der Atomic Stealer zielt auf über 50 Krypto-Wallets ab

Sobald Atomic eine MacOS-Maschine verletzt hat, kann es verschiedene Arten von Informationen aus der Software auf dem Gerät extrahieren. Die Malware zielt auf Desktop-Kryptowährungs-Wallets wie Electrum, Binance, Exodus und Atomic selbst sowie auf über 50 Kryptowährungs-Wallet-Erweiterungen ab, darunter Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi und BinanceChain.

Atomic stiehlt auch Webbrowserdaten wie automatisches Ausfüllen, Passwörter, Cookies und Kreditkarteninformationen von Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera und Vivaldi. Darüber hinaus kann es Systeminformationen wie Modellname, Hardware-UUID, RAM-Größe, Kernanzahl, Seriennummer und mehr sammeln.

Darüber hinaus ermöglicht Atomic den Betreibern, Dateien aus den Verzeichnissen „Desktop“ und „Dokumente“ des Opfers zu stehlen, muss jedoch zuerst die Erlaubnis zum Zugriff auf diese Dateien anfordern, was den Opfern die Möglichkeit bieten kann, die böswillige Aktivität zu erkennen.

Nach dem Sammeln der Daten komprimiert die Malware diese in eine ZIP-Datei und überträgt sie an den Command-and-Control (C&C)-Server des Angreifers. Der C&C-Server wird unter „amos-malware[.]ru/sendlog“ gehostet.

Obwohl macOS in der Vergangenheit weniger anfällig für schädliche Aktivitäten war als andere Betriebssysteme wie Windows, wird es jetzt zu einem immer beliebteren Ziel für Bedrohungsakteure aller Qualifikationsstufen. Dies ist wahrscheinlich auf die wachsende Zahl von macOS-Benutzern zurückzuführen, insbesondere im Geschäfts- und Unternehmenssektor, was es zu einem lukrativen Ziel für Cyberkriminelle macht, die versuchen, sensible Daten zu stehlen oder sich unbefugten Zugriff auf Systeme zu verschaffen. Daher müssen macOS-Benutzer wachsam bleiben und die notwendigen Vorkehrungen treffen, um ihre Geräte vor diesen Bedrohungen zu schützen.