Um novo malware de roubo de informações para macOS chamado 'Atomic' (também conhecido como 'AMOS') está sendo vendido para cibercriminosos por meio de canais privados no Telegram por uma assinatura de $1.000 por mês.
Por esse preço elevado, os compradores recebem um arquivo DMG contendo um malware de 64 bits baseado em Go projetado para visar sistemas macOS e roubar senhas do keychain, arquivos do sistema local, senhas, cookies e cartões de crédito armazenados em navegadores.
O malware também tenta roubar dados de mais de 50 extensões de criptomoedas, que se tornaram um alvo popular para malwares de roubo de informações.
Pelo preço, os cibercriminosos também recebem um painel web pronto para uso para gerenciamento fácil de vítimas, um "brute-forcer" MetaMask, um verificador de criptomoedas, um instalador dmg e a capacidade de receber logs roubados no Telegram.
O malware foi recentemente detectado por um pesquisador da Trellix e pesquisadores do Cyble Labs, que analisaram uma amostra do 'Atomic' e relataram que o autor lançou uma nova versão em 25 de abril de 2023, portanto, este é um projeto em desenvolvimento ativo.
No momento da redação, o arquivo dmg malicioso é amplamente indetectável no VirusTotal, onde apenas um de 59 motores AV o identifica como malicioso.
Quanto à sua distribuição, os compradores são responsáveis por configurar seus próprios canais, que podem incluir e-mails de phishing, malvertising, postagens em redes sociais, mensagens instantâneas, black SEO, torrents infectados e muito mais.
O Atomic Stealer possui uma ampla variedade de recursos de roubo de dados, proporcionando aos seus operadores oportunidades aprimoradas para penetração mais profunda no sistema-alvo.
Ao executar o arquivo dmg malicioso, o malware exibe uma falsa solicitação de senha para obter a senha do sistema, permitindo que o atacante obtenha privilégios elevados na máquina da vítima.
Isso é um requisito para acessar informações sensíveis, mas uma atualização futura também pode aproveitá-la para alterar as configurações do sistema ou instalar payloads adicionais.
Após essa primeira comprometimento, o malware tenta extrair a senha do Keychain, o gerenciador de senhas embutido do macOS que mantém senhas WiFi, logins de sites, dados de cartão de crédito e outras informações criptografadas.
Depois disso, o Atomic prossegue para extrair informações do software que é executado na máquina macOS comprometida, incluindo o seguinte:
O Atomic também dá aos operadores a capacidade de roubar arquivos diretamente dos diretórios "Desktop" e "Documents" da vítima.
No entanto, o malware deve solicitar permissão para acessar esses arquivos, o que cria uma oportunidade para que as vítimas percebam a atividade maliciosa.
Ao roubar dados, o malware os compacta em um arquivo ZIP e os envia para o servidor de comando e controle do ator de ameaça, que, segundo a Cyble, está localizado em "amos-malware [.] Ru/sendlog."
De particular interesse, o pesquisador de segurança da Trellix observou que o endereço IP associado ao servidor de comando e controle do Atmos e o nome de sua compilação também são usados pelo Raccoon Stealer, potencialmente conectando as duas operações.
Embora o macOS não esteja no epicentro da atividade de roubo de informações maliciosas, como o Windows, está cada vez mais sendo alvo de atores de ameaças de todos os níveis de habilidade.
Um grupo APT norte-coreano recentemente implantou um novo malware de roubo de informações para macOS no ataque de cadeia de suprimentos 3CX, ilustrando que os Macs agora são alvo de grupos de hackers patrocinados pelo estado.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...