Аналитический центр AhnLab Security (ASEC) обнаружил вредоносную программу Atomic Stealer, которая камуфлируется под программу для взлома Evernote и представляет угрозу для устройств Mac.
Описание
Atomic Stealer похищает различные данные, включая информацию о браузере, ключах системной связки, кошельке и системных данных. Распространение вредоносной программы осуществляется через установочные файлы типа pkg и dmg.
При посещении вредоносного сайта пользователю предлагается загрузить установочный файл crack. Сайт автоматически определяет операционную систему пользователя (macOS или Windows) по UserAgent браузера и перенаправляет на страницу с установкой соответствующего вредоносного ПО. Для macOS злоумышленники предлагают выполнить команды в терминале перед установкой, чтобы обойти GateKeeper.
Atomic Stealer собирает информацию о системе, анализирует виртуальное окружение и запрашивает системный пароль у пользователей, маскируясь под легитимные программы. После получения пароля программа исследует и собирает файлы с конфиденциальной информацией, создавая подкаталог и отправляя данные на удаленный сервер через POST-запрос. Затем Atomic Stealer удаляет собранную информацию.
Индикаторы компрометации
URLs
- http://192.124.178.88/contact
- https://webzal.com/get/update
MD5
- 774d14a4fc61176aaefb94468b513289
- bf9b98fce3c2fefdacdff234837e621b
- e0030c7976f1d90fd38e4e898e9957e8