Atomic Stealer Recebe uma Atualização - Visando Usuários de Mac com Payload Criptografado
12 de Janeiro de 2024

Pesquisadores de cibersegurança identificaram uma versão atualizada de um information stealer do macOS chamado Atomic (ou AMOS), indicando que os atores por trás do malware estão aprimorando ativamente suas capacidades.

"Parece que o Atomic Stealer foi atualizado por volta de meados a final de dezembro de 2023, onde seus desenvolvedores introduziram criptografia de payload em uma tentativa de burlar regras de detecção", disse Jérôme Segura, da Malwarebytes, em um relatório de quarta-feira.

O Atomic Stealer apareceu pela primeira vez em abril de 2023 por uma assinatura mensal de US$1.000.

Ele é capaz de colher informações sensíveis de um host comprometido, incluindo senhas do Keychain, cookies de sessão, arquivos, carteiras de criptomoedas, metadados do sistema e a senha da máquina por meio de uma solicitação falsa.

Nos últimos meses, o malware tem sido notado se propagando por meio de malvertising e sites comprometidos, sob o disfarce de atualizações legítimas de software e navegador da web.

A última análise da Malwarebytes mostra que o Atomic Stealer agora está sendo vendido por uma pesada taxa de aluguel de US$3.000/mês, com os atores realizando uma promoção que coincide com o Natal, oferecendo o malware por um preço com desconto de US$2.000.

Além de incorporar criptografia para dificultar a detecção por software de segurança, as campanhas que distribuem o Atomic Stealer sofreram uma ligeira mudança, na qual anúncios de busca do Google fingindo ser Slack são usados como condutos para implantar o Atomic Stealer ou um carregador de malware chamado EugenLoader (também conhecido como FakeBat), dependendo do sistema operacional.

Vale a pena notar que uma campanha de malvertising detectada em setembro de 2023 usava um site fraudulento para a plataforma de gráficos TradingView para entregar o NetSupport RAT, se visitado do Windows, e Atomic Stealer, se o sistema operacional for macOS.

O arquivo de imagem de disco Slack desonesto (DMG), ao ser aberto, solicita que a vítima insira sua senha do sistema, permitindo assim que os atores de ameaças reúnam informações sensíveis que estão restritas ao acesso.

Outro aspecto crucial da nova versão é o uso de ofuscação para ocultar o servidor de comando e controle que recebe as informações roubadas.

"À medida que os stealers continuam a ser uma grande ameaça para os usuários de Mac, é importante baixar softwares de locais confiáveis", disse Segura.

"Anúncios maliciosos e sites isca podem ser muito enganosos, e basta um único erro (digitar sua senha) para que o malware colete e exfiltre seus dados."

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...