Исследователи в области кибербезопасности обнаружили обновлённую версию программы для кражи информации из macOS под названием Atomic (или AMOS), и это указывает на то, что создатели вредоносного ПО активно расширяют его возможности.
«Похоже, что Atomic Stealer получил обновление примерно в середине или конце декабря 2023 года, в котором его разработчики внедрили шифрование содержимого загружаемого файла в попытке обойти обнаружения», – сообщил Жером Сегура из Malwarebytes в своём новом отчёте.
Atomic Stealer впервые появился в апреле 2023 года по ежемесячной подписке в $1000. Он способен собирать конфиденциальную информацию со взломанного компьютера, включая пароли из iCloud Keychain, куки сеанса, файлы c SSD, криптовалютные кошельки, системные метаданные и пароль от машины.
В течение последних нескольких месяцев вредоносная программа распространялась через рекламу и взломанные сайты под видом легитимных обновлений программного обеспечения и веб-браузеров.
Согласно последнему анализу Malwarebytes, Atomic Stealer продается за более высокую арендную плату в размере $3000 в месяц, при этом злоумышленники проводят акцию, приуроченную к Рождеству, предлагая вредоносное ПО по сниженной цене в $2000.
Помимо использования шифрования для предотвращения обнаружения средствами безопасности, хакеры, распространяющие Atomic Stealer, изменили своё поведение: поисковая реклама Google, выдающая себя за Slack, используется для установки Atomic Stealer или загрузчика вредоносного ПО EugenLoader (он же FakeBat) в зависимости от операционной системы.
Стоит отметить, что рекламная кампания, замеченная в сентябре 2023 года, использовала мошеннический сайт платформы для построения графиков TradingView для доставки NetSupport RAT, если посещение осуществлялось с Windows, и Atomic Stealer, если операционной системой была macOS.
Мошеннический образ диска (DMG) Slack при открытии просит жертву ввести пароль от системы, что позволяет злоумышленникам собирать конфиденциальную информацию, доступ к которой ограничен по умолчанию. Ещё один важный аспект новой версии – использование маскировки для сокрытия управляющего сервера, на который поступает похищенная информация.
«Поскольку похитители [данных] продолжают оставаться главной угрозой для пользователей Mac, важно загружать ПО из надёжных источников», – отмечает Сегура. «Фишинговая реклама и фейковые сайты могут вводить в заблуждение, и достаточно всего одной ошибки (ввода пароля), чтобы вредоносная программа собрала и унесла ваши данные».
Ещё по теме: