Atomic Stealer
Des experts en cybersécurité révèlent qu'un acteur de la menace vend un nouveau malware appelé Atomic Stealer sur l'application de messagerie Telegram. Ce malware est écrit en Golang et est spécifiquement conçu pour cibler les plates-formes macOS et peut voler des informations sensibles sur la machine de la victime.
L'acteur de la menace fait activement la promotion de l'Atomic Stealer sur Telegram, où il a récemment mis en évidence une mise à jour présentant les dernières capacités de la menace. Ce malware voleur d'informations présente un risque sérieux pour les utilisateurs de macOS, car il peut compromettre les informations sensibles stockées sur leurs machines, y compris les mots de passe et les configurations système. Des détails sur la menace ont été révélés dans un rapport de chercheurs sur les logiciels malveillants.
L'Atomic Stealer possède un large éventail de capacités menaçantes
L'Atomic Stealer dispose de diverses fonctionnalités de vol de données qui permettent à ses opérateurs de pénétrer plus profondément dans le système cible. Lorsque le fichier dmg non sécurisé est exécuté, le logiciel malveillant affiche une fausse invite de mot de passe pour inciter la victime à fournir son mot de passe système, ce qui permet à l'attaquant d'obtenir des privilèges élevés sur la machine de la victime.
Il s'agit d'une étape nécessaire pour accéder aux informations sensibles, mais une future mise à jour peut l'utiliser pour modifier des paramètres système cruciaux ou installer des charges utiles supplémentaires. Après cette compromission initiale, le logiciel malveillant tente d'extraire le mot de passe Keychain, qui est le gestionnaire de mots de passe intégré de macOS qui stocke des informations cryptées telles que les mots de passe WiFi, les connexions au site Web et les données de carte de crédit.
The Atomic Stealer cible plus de 50 crypto-portefeuilles
Une fois qu'Atomic a piraté une machine macOS, il peut extraire divers types d'informations du logiciel sur l'appareil. Le logiciel malveillant cible les portefeuilles de crypto-monnaie de bureau comme Electrum, Binance, Exodus et Atomic lui-même, ainsi que plus de 50 extensions de portefeuille de crypto-monnaie, notamment Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi. et BinanceChain.
Atomic vole également les données du navigateur Web, telles que les remplissages automatiques, les mots de passe, les cookies et les informations de carte de crédit de Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera et Vivaldi. De plus, il peut collecter des informations système telles que le nom du modèle, l'UUID matériel, la taille de la RAM, le nombre de cœurs, le numéro de série, etc.
De plus, Atomic permet aux opérateurs de voler des fichiers dans les répertoires "Desktop" et "Documents" de la victime, mais il doit d'abord demander l'autorisation d'accéder à ces fichiers, ce qui peut permettre aux victimes de détecter l'activité malveillante.
Après avoir collecté les données, le logiciel malveillant les compressera dans un fichier ZIP et les transmettra au serveur de commande et de contrôle (C&C) de l'auteur de la menace. Le serveur C&C est hébergé sur 'amos-malware[.]ru/sendlog.'
Alors que macOS a toujours été moins sujet aux activités nuisibles que d'autres systèmes d'exploitation comme Windows, il devient maintenant une cible de plus en plus populaire pour les acteurs de la menace de tous les niveaux de compétence. Cela est probablement dû au nombre croissant d'utilisateurs de macOS, en particulier dans les secteurs des affaires et des entreprises, ce qui en fait une cible lucrative pour les cybercriminels cherchant à voler des données sensibles ou à obtenir un accès non autorisé aux systèmes. Par conséquent, les utilisateurs de macOS doivent rester vigilants et prendre les précautions nécessaires pour protéger leurs appareils contre ces menaces.
