Исследователи в области кибербезопасности обнаружили обновлённую версию программы для кражи информации из macOS под названием Atomic (или AMOS), и это указывает на то, что создатели вредоносного ПО активно расширяют его возможности.

«Похоже, что Atomic Stealer получил обновление примерно в середине или конце декабря 2023 года, в котором его разработчики внедрили шифрование содержимого загружаемого файла в попытке обойти обнаружения», – сообщил Жером Сегура из Malwarebytes в своём новом отчёте.

Atomic Stealer впервые появился в апреле 2023 года по ежемесячной подписке в $1000. Он способен собирать конфиденциальную информацию со взломанного компьютера, включая пароли из iCloud Keychain, куки сеанса, файлы c SSD, криптовалютные кошельки, системные метаданные и пароль от машины.

В течение последних нескольких месяцев вредоносная программа распространялась через рекламу и взломанные сайты под видом легитимных обновлений программного обеспечения и веб-браузеров.

Согласно последнему анализу Malwarebytes, Atomic Stealer продается за более высокую арендную плату в размере $3000 в месяц, при этом злоумышленники проводят акцию, приуроченную к Рождеству, предлагая вредоносное ПО по сниженной цене в $2000.

Поддельный сайт предлагает скачать Slack

Помимо использования шифрования для предотвращения обнаружения средствами безопасности, хакеры, распространяющие Atomic Stealer, изменили своё поведение: поисковая реклама Google, выдающая себя за Slack, используется для установки Atomic Stealer или загрузчика вредоносного ПО EugenLoader (он же FakeBat) в зависимости от операционной системы.

Стоит отметить, что рекламная кампания, замеченная в сентябре 2023 года, использовала мошеннический сайт платформы для построения графиков TradingView для доставки NetSupport RAT, если посещение осуществлялось с Windows, и Atomic Stealer, если операционной системой была macOS.

Мошеннический образ диска (DMG) Slack при открытии просит жертву ввести пароль от системы, что позволяет злоумышленникам собирать конфиденциальную информацию, доступ к которой ограничен по умолчанию. Ещё один важный аспект новой версии – использование маскировки для сокрытия управляющего сервера, на который поступает похищенная информация.

«Поскольку похитители [данных] продолжают оставаться главной угрозой для пользователей Mac, важно загружать ПО из надёжных источников», – отмечает Сегура. «Фишинговая реклама и фейковые сайты могут вводить в заблуждение, и достаточно всего одной ошибки (ввода пароля), чтобы вредоносная программа собрала и унесла ваши данные».

Ещё по теме: