Los expertos en seguridad han emitido advertencias sobre una nueva pieza de malware que se dirige a los dispositivos MacOS para robar información confidencial, incluidas contraseñas guardadas, números de tarjetas de crédito y datos de más de 50 extensiones de navegador de criptomonedas.
Apodada ‘Atomic’, también conocida como ‘AMOS’, la amenaza se vende en la infame aplicación de mensajería encriptada Telegram, que tiene reputación como plataforma para compartir material y contenido ilícito, por $ 1,000 por mes.
Viene con varias funciones que facilitan que los atacantes lleven a cabo sus delitos, como un panel web para ayudar a administrar a sus víctimas, un atacante de fuerza bruta MetaMask, un verificador de criptomonedas, un instalador dmg y la capacidad de recibir registros robados. en telegrama
Indetectable
investigadores de ambos Trellix (se abre en una pestaña nueva) y laboratorios Cyble (se abre en una pestaña nueva) han estado rastreando el malware y descubrieron que el lanzamiento de la última versión fue el 25 de abril, lo que sugiere que los desarrollos y las actualizaciones están en curso.
Además, la herramienta está resultando difícil de detectar, con menos del 2% del software antivirus que marca el archivo dmg como malicioso.
Los actores de amenazas pueden infectar a los usuarios con el malware a través de los métodos habituales, como correos electrónicos de phishing, publicaciones en redes sociales, campañas de publicidad maliciosa, torrents malos y similares.
Cuando la víctima abre el archivo dmg, recibe un mensaje falso para ingresar la contraseña maestra de su dispositivo, que el malware roba para poder ingresar. Luego intenta robar la información del usuario guardada en el administrador de contraseñas de Apple, Keychain.
Luego intenta robar información del software instalado en el sistema, como billeteras de criptomonedas de escritorio de Electrum, Binance, Exodus y Atomic, así como otras 50 extensiones de billetera que incluyen Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty y BinanceChain.
También se extraen datos del navegador web, como contraseñas y tarjetas de pago guardadas en Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera y Vivaldi. También se analiza la información del sistema, como el nombre del modelo, los números de serie, el UUID del hardware, el tamaño de la RAM y el número de núcleos.
Atomic también puede robar archivos directamente de directorios como las carpetas Escritorio y Documentos. Pero al hacer esto, el malware tiene que solicitar permiso del sistema, del cual se notifica al usuario, por lo que esto puede darle la oportunidad de detectar la infección.
Los datos robados se comprimen en un archivo zip y se envían al servidor de comando y control del actor de amenazas, que, curiosamente, tiene la misma dirección IP que la utilizada por Raccoon Stealer, lo que sugiere un vínculo entre los dos.
Por lo general, los dispositivos de Apple no son tan atacados por malware como las máquinas con Windows, pero parece que esto está comenzando a cambiar, ya que un informe reciente afirma que tales amenazas están en aumento.