Исследователи кибербезопасности выявили обновленную версию программы для кражи информации macOS под названием Atomic (или AMOS), что указывает на то, что злоумышленники, стоящие за вредоносным ПО, активно расширяют его возможности.
"Похоже, что Atomic Stealer был обновлен примерно с середины до конца декабря 2023 года, когда его разработчики внедрили шифрование полезной нагрузки в попытке обойти правила обнаружения", - сказал Жером Сегура из Malwarebytes в отчете, опубликованном в среду.
Atomic Stealer впервые появился в апреле 2023 года по ежемесячной подписке стоимостью 1000 долларов. Он способен собирать конфиденциальную информацию со скомпрометированного хостинга, включая пароли-цепочки, сеансовые файлы cookie, файлы, криптокошельки, системные метаданные и пароль компьютера с помощью поддельного запроса.
За последние несколько месяцев было замечено, что вредоносное ПО распространяется через вредоносную рекламу и скомпрометированные сайты под видом законного программного обеспечения и обновлений веб-браузера.
Последний анализ Malwarebytes показывает, что Atomic Stealer сейчас продается за солидную арендную плату в размере 3000 долларов в месяц, при этом организаторы проводят акцию, приуроченную к Рождеству, предлагая вредоносное ПО со скидкой в 2000 долларов.
Помимо включения шифрования для предотвращения обнаружения программным обеспечением безопасности, кампании, распространяющие Atomic Stealer, претерпели небольшие изменения, в которых поисковая реклама Google, выдающая себя за Slack, используется в качестве канала для развертывания Atomic Stealer или загрузчика вредоносных программ под названием EugenLoader (он же FakeBat) в зависимости от операционной системы.
Стоит отметить, что в сентябре 2023 года была замечена вредоносная рекламная кампания, использовавшая мошеннический сайт для платформы построения графиков TradingView для предоставления NetSupport RAT, если он посещается из Windows, и Atomic Stealer, если операционная система macOS.
При открытии вредоносного файла Slack disk image (DMG) жертве предлагается ввести системный пароль, тем самым позволяя субъектам угрозы собирать конфиденциальную информацию, доступ к которой ограничен. Еще одним важным аспектом новой версии является использование обфускации для сокрытия сервера командования и управления, который получает украденную информацию.
"Поскольку кражи продолжают оставаться главной угрозой для пользователей Mac, важно загружать программное обеспечение из надежных источников", - сказал Сегура. "Вредоносная реклама и сайты-приманки могут вводить в заблуждение, и вредоносному ПО достаточно одной ошибки (при вводе вашего пароля), чтобы собрать и отфильтровать ваши данные".
"Похоже, что Atomic Stealer был обновлен примерно с середины до конца декабря 2023 года, когда его разработчики внедрили шифрование полезной нагрузки в попытке обойти правила обнаружения", - сказал Жером Сегура из Malwarebytes в отчете, опубликованном в среду.
Atomic Stealer впервые появился в апреле 2023 года по ежемесячной подписке стоимостью 1000 долларов. Он способен собирать конфиденциальную информацию со скомпрометированного хостинга, включая пароли-цепочки, сеансовые файлы cookie, файлы, криптокошельки, системные метаданные и пароль компьютера с помощью поддельного запроса.
За последние несколько месяцев было замечено, что вредоносное ПО распространяется через вредоносную рекламу и скомпрометированные сайты под видом законного программного обеспечения и обновлений веб-браузера.
Последний анализ Malwarebytes показывает, что Atomic Stealer сейчас продается за солидную арендную плату в размере 3000 долларов в месяц, при этом организаторы проводят акцию, приуроченную к Рождеству, предлагая вредоносное ПО со скидкой в 2000 долларов.
Помимо включения шифрования для предотвращения обнаружения программным обеспечением безопасности, кампании, распространяющие Atomic Stealer, претерпели небольшие изменения, в которых поисковая реклама Google, выдающая себя за Slack, используется в качестве канала для развертывания Atomic Stealer или загрузчика вредоносных программ под названием EugenLoader (он же FakeBat) в зависимости от операционной системы.
Стоит отметить, что в сентябре 2023 года была замечена вредоносная рекламная кампания, использовавшая мошеннический сайт для платформы построения графиков TradingView для предоставления NetSupport RAT, если он посещается из Windows, и Atomic Stealer, если операционная система macOS.
При открытии вредоносного файла Slack disk image (DMG) жертве предлагается ввести системный пароль, тем самым позволяя субъектам угрозы собирать конфиденциальную информацию, доступ к которой ограничен. Еще одним важным аспектом новой версии является использование обфускации для сокрытия сервера командования и управления, который получает украденную информацию.
"Поскольку кражи продолжают оставаться главной угрозой для пользователей Mac, важно загружать программное обеспечение из надежных источников", - сказал Сегура. "Вредоносная реклама и сайты-приманки могут вводить в заблуждение, и вредоносному ПО достаточно одной ошибки (при вводе вашего пароля), чтобы собрать и отфильтровать ваши данные".
