Вредоносная программа Atomic Stealer, замаскированная под программу для взлома (macOS)

Stealer

Аналитический центр AhnLab Security (ASEC) обнаружил вредоносную программу Atomic Stealer, которая камуфлируется под программу для взлома Evernote и представляет угрозу для устройств Mac.

Описание

Atomic Stealer похищает различные данные, включая информацию о браузере, ключах системной связки, кошельке и системных данных. Распространение вредоносной программы осуществляется через установочные файлы типа pkg и dmg.

При посещении вредоносного сайта пользователю предлагается загрузить установочный файл crack. Сайт автоматически определяет операционную систему пользователя (macOS или Windows) по UserAgent браузера и перенаправляет на страницу с установкой соответствующего вредоносного ПО. Для macOS злоумышленники предлагают выполнить команды в терминале перед установкой, чтобы обойти GateKeeper.

Atomic Stealer собирает информацию о системе, анализирует виртуальное окружение и запрашивает системный пароль у пользователей, маскируясь под легитимные программы. После получения пароля программа исследует и собирает файлы с конфиденциальной информацией, создавая подкаталог и отправляя данные на удаленный сервер через POST-запрос. Затем Atomic Stealer удаляет собранную информацию.

Индикаторы компрометации

URLs

  • http://192.124.178.88/contact
  • https://webzal.com/get/update

MD5

  • 774d14a4fc61176aaefb94468b513289
  • bf9b98fce3c2fefdacdff234837e621b
  • e0030c7976f1d90fd38e4e898e9957e8
Комментарии: 0