MacStealerبازیگران تهدید در حال تبلیغ یک دزد اطلاعات جدید برای سیستم‌عامل macOS اپل به نام Atomic macOS Stealer (یا AMOS) در تلگرام با قیمت ۱۰۰۰ دلار در ماه هستند و به شرکت‌هایی مانند MacStealer می‌پیوندند.

محققان Cyble در گزارشی فنی می‌گویند: «Atomic macOS Stealer می‌تواند انواع مختلفی از اطلاعات را از دستگاه قربانی سرقت کند، ازجمله رمزهای عبور Keychain، اطلاعات کامل سیستم، فایل‌ها از دسکتاپ و پوشه اسناد و حتی رمز عبور macOS».

از دیگر ویژگی‌های آن می‌توان به توانایی استخراج داده از مرورگرهای وب و کیف پول‌های ارزهای دیجیتال مانند Atomic، Binance، Coinomi، Electrum و Exodus اشاره کرد. بازیگران تهدید که دزد را از توسعه‌دهندگان آن خریداری می‌کنند نیز یک پنل وب آماده برای مدیریت قربانیان در اختیار دارند.

این بدافزار به شکل یک فایل تصویر دیسک بدون علامت (Setup.dmg) است که هنگام اجرا، از قربانی می‌خواهد رمز عبور سیستم خود را در یک اعلان جعلی وارد کند تا امتیازات را افزایش دهد و فعالیت‌های مخرب خود را انجام دهد – تکنیکی که MacStealer نیز به کار گرفته است.

بردار نفوذ اولیه مورداستفاده برای ارائه بدافزار بلافاصله مشخص نیست، اگرچه ممکن است کاربران برای دانلود و اجرای آن تحت پوشش نرم‌افزار قانونی دست‌کاری شوند.

بدافزار دزد اتمی، که در ۲۴ آوریل ۲۰۲۳ به VirusTotal ارسال شد، همچنین نام “Notion-7.0.6.dmg” را دارد که نشان می‌دهد به‌عنوان برنامه محبوب یادداشت‌برداری منتشر می‌شود. سایر نمونه‌های کشف‌شده توسط MalwareHunterTeam به‌عنوان «Photoshop CC 2023.dmg» و «Tor Browser.dmg» توزیع می‌شوند.

Cyble خاطرنشان کرد: بدافزارهایی مانند Atomic macOS Stealer می‌توانند با بهره‌برداری از آسیب‌پذیری‌ها یا میزبانی وب‌سایت‌های فیشینگ نصب شوند.

سپس Atomic به جمع‌آوری ابرداده‌های سیستم، فایل‌ها، iCloud Keychain و همچنین اطلاعات ذخیره‌شده در مرورگرهای وب (مانند رمزهای عبور، تکمیل خودکار، کوکی‌ها، داده‌های کارت اعتباری) و پسوندهای کیف پول کریپتو ادامه می‌دهد که همگی در یک آرشیو ZIP فشرده‌شده و ارسال می‌شوند. سپس فایل ZIP اطلاعات کامپایل شده به کانال‌های تلگرامی از پیش تنظیم‌شده ارسال می‌شود.

این توسعه نشانه دیگری است مبنی بر اینکه macOS به‌طور فزاینده‌ای تبدیل به یک هدف پرسود فراتر از گروه‌های هک nation-state برای استقرار بدافزارهای دزد شده است و این امر ضروری است که کاربران فقط نرم‌افزارها را از منابع قابل‌اعتماد دانلود و نصب کنند، احراز هویت دومرحله‌ای را فعال کنند، مجوزهای برنامه را بررسی کنند و از باز کردن پیوندهای مشکوک دریافت شده از طریق ایمیل یا پیامک خودداری کنند.

منابع

[۱] https://thehackernews.com/2023/03/new-macstealer-macos-malware-steals.html

[۲] https://blog.cyble.com/2023/04/26/threat-actor-selling-new-atomic-macos-amos-stealer-on-telegram

[۳] https://www.virustotal.com/gui/file/15f39e53a2b4fa01f2c39ad29c7fe4c2fef6f24eff6fa46b8e77add58e7ac709/detection

[۴] https://www.virustotal.com/gui/file/e26e45d4f5fee9d0825610e25349d43511a65e6d0f2c4c68935b0cd9fee81954/detection

[۵] https://www.virustotal.com/gui/file/db3efff600f9d798b55a21c148f83809ee850ba1af4ecb0d32b62816fcf1cc55/detection

[۶] https://thehackernews.com/2023/04/lazarus-subgroup-targeting-apple.html

[۷] https://thehackernews.com/2023/04/new-atomic-macos-stealer-can-steal-your.html