Atomic Stealer

サイバーセキュリティの専門家は、攻撃者がメッセージング アプリケーション Telegram で Atomic Stealer と呼ばれる新しいマルウェアを販売していることを明らかにしました。このマルウェアは Golang で書かれており、macOS プラットフォームをターゲットにするように特別に設計されており、被害者のマシンから機密情報を盗むことができます。

脅威アクターは Telegram で Atomic Stealer を積極的に宣伝しており、最近、この脅威の最新機能を紹介する更新を強調しています。この情報を盗むマルウェアは、パスワードやシステム構成など、マシンに保存されている機密情報を危険にさらす可能性があるため、macOS ユーザーに深刻なリスクをもたらします。この脅威に関する詳細は、マルウェア研究者によるレポートで明らかになりました。

アトミック スティーラーは、さまざまな脅威能力を備えています

Atomic Stealer にはさまざまなデータ盗難機能があり、オペレーターがターゲット システムの奥深くに侵入できるようになっています。安全でない dmg ファイルが実行されると、マルウェアは偽のパスワード プロンプトを表示して被害者をだましてシステム パスワードを入力させます。これにより、攻撃者は被害者のマシンで昇格された権限を取得できます。

これは機密情報にアクセスするために必要な手順ですが、将来の更新で重要なシステム設定の変更や追加のペイロードのインストールに使用される可能性があります。この最初の侵害の後、マルウェアはキーチェーン パスワードを抽出しようとします。キーチェーン パスワードは、WiFi パスワード、Web サイト ログイン、クレジット カード データなどの暗号化された情報を保存する macOS の組み込みパスワード マネージャーです。

Atomic Stealer は 50 を超える暗号ウォレットを標的にしています

Atomic が macOS マシンに侵入すると、デバイス上のソフトウェアからさまざまな種類の情報を抽出できます。このマルウェアは、Electrum、Binance、Exodus、Atomic などのデスクトップ仮想通貨ウォレット、および Trust Wallet、Exodus Web3 Wallet、Jaxx Liberty、Coinbase、Guarda、TronLink、Trezor Password Manager、Metamask、Yoroi などの 50 以上の仮想通貨ウォレット拡張機能を標的にしています。そしてバイナンスチェーン。

Atomic は、Google Chrome、Mozilla Firefox、Microsoft Edge、Yandex、Opera、Vivaldi から、自動入力、パスワード、Cookie、クレジット カード情報などの Web ブラウザー データも盗みます。さらに、モデル名、ハードウェア UUID、RAM サイズ、コア数、シリアル番号などのシステム情報を収集できます。

さらに、Atomic を使用すると、オペレーターは被害者の「デスクトップ」および「ドキュメント」ディレクトリからファイルを盗むことができますが、最初にこれらのファイルへのアクセス許可を要求する必要があります。

データを収集した後、マルウェアはデータを ZIP ファイルに圧縮し、攻撃者のコマンド アンド コントロール (C&C) サーバーに送信します。 C&C サーバーは「amos-malware[.]ru/sendlog」でホストされています。

macOS は歴史的に、Windows などの他のオペレーティング システムよりも有害なアクティビティが発生しにくい傾向がありますが、現在では、あらゆるスキル レベルの攻撃者にとってますます一般的な標的になりつつあります。これは、特にビジネスおよびエンタープライズ セクターで macOS ユーザーの数が増加しているためと考えられ、機密データを盗んだり、システムへの不正アクセスを取得しようとするサイバー犯罪者にとって有利なターゲットになっています。そのため、macOS ユーザーは警戒を怠らず、これらの脅威からデバイスを保護するために必要な予防措置を講じる必要があります。