Siber korsanlar, Telegram’da Atomic macOS malware Stealer (veya AMOS) adlı Apple macOS işletim sistemi için ayda 1.000 dolara yeni bir bilgi hırsızının reklamını yapıyor ve macstealer’in beğenisine katılıyor.
Cyble araştırmacıları teknik bir raporda, “Atomic macOS malware Anahtarlık şifreleri, eksiksiz sistem bilgileri, masaüstü ve belgeler klasöründeki dosyalar ve hatta macOS şifresi dahil olmak üzere kurbanın makinesinden çeşitli bilgi türlerini çalabilir” dedi.
Diğer özellikler arasında web tarayıcılarından ve Atomic, Binance, Coinomi, Electrum ve Exodus gibi kripto para cüzdanlarından veri çıkarma yeteneği yer alıyor. Hırsızı geliştiricilerinden satın alan tehdit aktörlerine, kurbanları yönetmek için kullanıma hazır bir web paneli de sağlanır.
Kötü amaçlı yazılım, imzasız bir disk görüntü dosyası (Kurulum.dmg) yürütüldüğünde, mağduru ayrıcalıkları artırmak ve kötü niyetli faaliyetlerini yürütmek için sahte bir istemle sistem şifresini girmeye teşvik eder – MacStealer tarafından da benimsenen bir teknik.
İlgini çekebilecek yazımız: RTM Locker’ı Hedefleyen İlk Fidye Saldırıları Ortaya Çıktı
Kötü amaçlı yazılımı sunmak için kullanılan ilk izinsiz giriş vektörü hemen net değildir, ancak kullanıcıların onu meşru yazılım kisvesi altında indirip yürütmeleri için manipüle edilmeleri mümkündür.
24 Nisan 2023’te virustotal’a sunulan Atom hırsızı eseri, “Notion-7.0.6” adını da taşıyor.dmg, “popüler not alma uygulaması olarak yayıldığını öne sürüyor. Kötü Amaçlı Yazılım Avcısı Ekibi tarafından ortaya çıkarılan diğer örnekler “Photoshop CC 2023.dmg” ve “Tor Tarayıcı.dmg.”
Cyble, “Atomic macOS Stealer gibi kötü amaçlı yazılımlar, güvenlik açıklarından yararlanılarak veya kimlik avı web sitelerinde barındırılarak kurulabilir” dedi.
Atomic daha sonra sistem meta verilerini, dosyaları, iCloud Anahtar Zincirinin yanı sıra web tarayıcılarında depolanan bilgileri (örneğin şifreler, otomatik doldurma, çerezler, kredi kartı verileri) ve kripto cüzdan uzantılarını toplamaya devam eder ve bunların tümü bir ZIP arşivine sıkıştırılır ve uzak bir sunucuya gönderilir. Derlenen bilgilerin ZİP dosyası daha sonra önceden yapılandırılmış Telegram kanallarına gönderilir.
Bu gelişme, macos’un hırsız kötü amaçlı yazılımları dağıtmak için ulus devlet korsan gruplarının ötesinde giderek daha kazançlı bir hedef haline geldiğinin bir başka işaretidir; bu, kullanıcıların yalnızca güvenilir kaynaklardan yazılım indirip yüklemelerini, iki faktörlü kimlik doğrulamayı etkinleştirmelerini, uygulama izinlerini incelemelerini ve e-posta veya SMS mesajları yoluyla alınan şüpheli bağlantıları açmaktan kaçınmalarını zorunlu kılar.
Haber Kaynağı: The Hacker News