В последние годы macOS становится все более популярной среди пользователей, в основном благодаря удобному интерфейсу, который часто хвалят за простоту и легкость в использовании.
Atomic Stealer
Atomic macOS Stealer может украсть различные типы информации с компьютера жертвы, включая пароли связки ключей, полную системную информацию, файлы с рабочего стола и папки документов, и даже пароль macOS. Угонщик предназначен для нескольких браузеров и может извлекать данные автозаполнения, пароли, куки, кошельки и информацию о кредитных картах. В частности, AMOS может атаковать такие криптовалютные кошельки, как Electrum, Binance, Exodus, Atomic и Coinomi.
TA также предоставляет дополнительные услуги, такие как веб-панель для управления жертвами, брутфорсинг мета-маски для кражи seed и приватных ключей, крипто-чекер и установщик dmg, после чего делится логами через Telegram. Эти услуги предлагаются по цене $1000 в месяц.
Для распространения вредоносной программы TA используют файл '.dmg', включая исполняемый файл для Mac OS X, расположенный по адресу "/Setup.app/Contents/macOS/My Go Application.app" и представляющий собой 64-битный исполняемый файл Golang.
Основная функция Atomic macOS Stealer охватывает все его возможности, включая извлечение связки ключей, кражу криптокошелька, кражу данных браузера, захват файлов пользователя, сбор системной информации и отправку всех украденных данных на удаленный C&C-сервер.
Как только пользователь запускает файл, он отображает фальшивый запрос на получение системного пароля.
Помимо получения системного пароля, вредоносная программа также нацелена на инструмент управления паролями, используя функцию main_keychain() для извлечения конфиденциальной информации с компьютера жертвы. Keychain - это система управления паролями macOS, которая позволяет пользователям безопасно хранить конфиденциальные данные, такие как логины веб-сайтов, пароли Wi-Fi, данные кредитных карт и многое другое.
После этого кража начинает извлекать информацию, связанную с криптокошельками, путем запроса и чтения файлов из определенных каталогов с помощью функции main_GrabWallets(). Как показано ниже, целью кражи являются такие криптокошельки, как Electrum, Binance, Exodus и Atomic.
Atomic для macOS также может извлекать информацию из расширений браузера криптокошелька. Эти расширения интегрируются в бинарный файл крадущего с помощью жесткого кодирования, причем на данный момент было выбрано более 50 расширений.
После сбора данных о кошельке вредоносная программа запрашивает каталоги установленных браузеров на устройстве жертвы и ищет определенные файлы, связанные с браузером, чтобы извлечь конфиденциальные данные, такие как:
- Автозаполнение
- Пароли
- Cookies
- Кредитные карты
Вредоносная программа может похищать файлы из различных браузеров, включая Mozilla Firefox, Google Chrome, Microsoft Edge, Yandex, Opera и Vivaldi.
Теперь крадущая программа похищает файлы жертвы из таких каталогов, как Desktop и Documents, используя функцию main_FileGrabber().
Затем вредоносная программа начинает процесс получения дополнительной информации об аппаратном обеспечении системы, такой как название модели, UUID оборудования, объем оперативной памяти, количество ядер, серийный номер и др.
Наконец, крадущий Atomic macOS обрабатывает украденную информацию, сжимая ее в ZIP и кодируя в формате Base64 для эксфильтрации.
Угонщик связывается с указанным ниже URL-адресом C&C-сервера и отправляет украденную информацию.
hxxp[:]//amos-malware[.]ru/sendlog
Indicators of Compromise
Domains
- amos-malware.ru
URLs
- http://amos-malware.ru/sendlog
MD5
- 5e0226adbe5d85852a6d0b1ce90b2308
SHA1
- 0a87b12b2d12526c8ba287f0fb0b2f7b7e23ab4a
SHA256
- 15f39e53a2b4fa01f2c39ad29c7fe4c2fef6f24eff6fa46b8e77add58e7ac709