נוזקה חדשה לגניבת מידע ממערכות macOS בשם Atomic Stealer (ידועה גם בשם AMOS) נמכרת לפושעי סייבר באמצעות ערוצי טלגרם פרטיים עבור מנוי של 1,000 דולר לחודש. במחיר זה מקבלים הקונים קובץ DMG המכיל נוזקה שנועדה לפרוץ למערכות macOS ולגנוב סיסמאות, קבצים ממערכת הקבצים המקומית, קובצי Cookie וכרטיסי אשראי המאוחסנים בדפדפנים. הנוזקה גם מנסה לגנוב נתונים מלמעלה מ- 50 הרחבות של מטבעות קריפטוגרפיים, שהפכו ליעד פופולרי לגניבת מידע. תמורת עלות הנוזקה מקבלים פושעי סייבר גם פאנל אינטרנט מוכן לשימוש לניהול קל של הקורבנות, MetaMask brute-forcer, בודק מטבעות קריפטוגרפיים, מתקין DMG ויכולת לקבל יומנים גנובים בטלגרם.
הנוזקה אותרה לאחרונה על ידי חוקר סייבר בחברת Trellix וחוקרים במעבדות Cyble, שניתחו מדגם של Atomic Stealer ודיווחו שהמפתחים פרסמו גרסה חדשה ב- 25 באפריל 2023, כך שמדובר בפרויקט המפותח באופן פעיל. בזמן כתיבת שורות אלו, קובץ ה- DMG הזדוני אינו מזוהה ברובו ב- VirusTotal, שם רק אחד מתוך 59 מנועי אנטי וירוס מסמן אותו כזדוני.
באשר להפצתו, אחראים הקונים להקים ערוצים משלהם, שעשויים לכלול מיילים לדיוג, פוסטים ברשתות חברתיות, הודעות מיידיות, מודעות ממומנות ועוד.
ה- Atomic Stealer מתהדר במערך מקיף של תכונות גניבת נתונים, המספק למפעיליו הזדמנויות משופרות לחדור עמוק יותר לתוך מערכת היעד. עם הפעלת קובץ ה- DMG הזדוני, מציגה הנוזקה בקשת סיסמה מזויפת כדי להשיג את סיסמת המערכת, מה שמאפשר לתוקף לקבל הרשאות גבוהות במחשב של הקורבן. זוהי דרישה לגישה למידע רגיש, אך עדכון עתידי עשוי למנף אותו גם לשינוי הגדרות מערכת או התקנת מטענים נוספים. לאחר גישה ראשונית זו מנסה הנוזקה לחלץ את סיסמת Keychain, מנהל הסיסמאות המובנה של macOS שמכיל סיסמאות WiFi, כניסות לאתרים, נתוני כרטיסי אשראי ומידע מוצפן אחר.
לאחר ביצוע האמור לעיל, ממשיכה Atomic Stealer לחלץ מידע מתוכנה הפועלת על מכונת ה- macOS שנפרצה, כולל הדברים הבאים: ארנקי מטבעות קריפטוגרפיים שולחניים: Electrum, Binance, Exodus, Atomic; הרחבות ארנק קריפטו: 50 הרחבות ממוקדות בסך הכל, כולל Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi ו- BinanceChain; נתוני דפדפן אינטרנט: מילוי אוטומטי, סיסמאות, קובצי Cookie וכרטיסי אשראי מ- Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera ו- Vivaldi; מידע מערכת: שם הדגם, UUID של החומרה, גודל זיכרון RAM, ספירת ליבות, מספר סידורי ועוד. Atomic Stealer גם מעניקה למפעילים את היכולת לגנוב קבצים ישירות מהספריות שולחן עבודה ומסמכים של הקורבן.
בעת גניבת הנתונים תארוז הנוזקה את הכל בקובץ ZIP ולאחר מכן תשלח אותו לשרת הפיקוד והבקרה של ההאקרים. חוקר האבטחה של Trellix ציין שכתובת ה- IP המשויכת לשרת הפיקוד והבקרה של Atmos ושם ה- build שלו משמשים גם את Raccoon Stealer, מה שעשוי לקשר בין שתי הפעולות. משם, נשלח מידע נבחר וארכיון ZIP גם לערוץ הטלגרם הפרטי של המפעיל.
למרות ש- macOS לא נמצאת במוקד של פעילות זדונית של גניבת מידע כמו Windows, היא זוכה יותר ויותר להוות מטרה של פושעי סייבר בכל רמות המיומנות. קבוצת APT מצפון קוריאה פרסה לאחרונה גנב מידע חדשני של macOS במתקפת שרשרת האספקה של 3CX, מה שממחיש שמחשבי MAC הם כעת יעד אפילו לקבוצות פריצה בחסות המדינה.
