Atomic Stealer deghizat în software malițios
Sursă: https://cybersecuritynews.com/
O nouă campanie complexă de malware vizează utilizatorii macOS, exploatând cererea răspândită de software gratuit pentru a distribui celebrul Atomic macOS Stealer (AMOS).
Acest malware ce sustrage informații se prezintă sub forma unor versiuni malițioase ale unor aplicații populare, păcălind utilizatorii să-și compromită propriile sisteme, crezând că descarcă pur și simplu alternative gratuite de software.
Raza de acțiune a malware-ului se extinde mult dincolo de simpla sustragere de informații, vizând informații sensibile, inclusiv datele de autentificare ale browserului, portofelele de criptomonede, conversațiile Telegram, configurațiile VPN, datele din keychain, Apple Notes și diverse fișiere document.
Analiza unor specialiști a relevat că atacatorii distribuie AMOS în principal prin site-uri web precum haxmac.cc, care găzduiesc numeroase aplicații macOS piratate și servesc ca vector inițial de infectare.
Cea mai eficientă metodă de distribuire implică instruirea utilizatorilor să execute comenzi rău intenționate direct în aplicația Terminal din macOS.
Această abordare se dovedește a fi deosebit de eficientă, deoarece ocolește funcția de securitate Gatekeeper a Apple, care în mod normal împiedică rularea aplicațiilor neautorizate.
Malware-ul își asigură persistența printr-un sistem sofisticat cu mai multe componente, care implică trei fișiere cheie. Fișierul binar principal (.helper) efectuează colectarea propriu-zisă a datelor, în timp ce un script de monitorizare ([.]agent) rulează continuu pentru a detecta sesiunile de conectare ale utilizatorilor.
Un fișier de configurare LaunchDaemon (com[.]finder[.]helper[.]plist) asigură persistența malware-ului după repornirea sistemului, lansând automat scriptul de monitorizare la pornire.
Mecanismul de persistență creează o buclă infinită în care scriptul .agent monitorizează continuu sesiunile active ale utilizatorilor și execută fișierul binar .helper în contextul utilizatorului corespunzător.
Exfiltrarea datelor are loc prin arhive ZIP comprimate trimise prin cereri HTTP POST către servere de comandă și control, cu antete personalizate care conțin identificatori unici pentru fiecare sistem infectat.
Capacitățile cuprinzătoare de colectare a datelor ale malware-ului, combinate cu mecanismele sale sofisticate de evaziune și persistență, îl fac o amenințare considerabilă pentru utilizatorii macOS care descarcă software din surse neîncredere.
Sursă: https://cybersecuritynews.com/atomic-stealer-disguised-as-cracked-software/
