Atomic Stealer
Los expertos en ciberseguridad revelan que un actor de amenazas está vendiendo un nuevo malware Atomic Stealer Stealer en la aplicación de mensajería Telegram. Este malware está escrito en Golang y está diseñado específicamente para atacar plataformas macOS y puede robar información confidencial de la máquina de la víctima.
El actor de amenazas está promocionando activamente Atomic Stealer en Telegram, donde recientemente destacaron una actualización que muestra las últimas capacidades de la amenaza. Este malware que roba información presenta un grave riesgo para los usuarios de macOS, ya que puede comprometer la información confidencial almacenada en sus máquinas, incluidas las contraseñas y las configuraciones del sistema. Los detalles sobre la amenaza fueron revelados en un informe de investigadores de malware.
Atomic Stealer posee una amplia gama de capacidades amenazantes
Atomic Stealer tiene varias funciones de robo de datos que permiten a sus operadores penetrar más profundamente en el sistema de destino. Cuando se ejecuta el archivo dmg inseguro, el malware muestra una solicitud de contraseña falsa para engañar a la víctima para que proporcione su contraseña del sistema, lo que le permite al atacante obtener privilegios elevados en la máquina de la víctima.
Este es un paso necesario para acceder a información confidencial, pero una actualización futura puede usarlo para cambiar configuraciones cruciales del sistema o instalar cargas útiles adicionales. Después de este compromiso inicial, el malware intenta extraer la contraseña del llavero, que es el administrador de contraseñas integrado de macOS que almacena información cifrada, como contraseñas WiFi, inicios de sesión en sitios web y datos de tarjetas de crédito.
The Atomic Stealer tiene como objetivo más de 50 criptobilleteras
Una vez que Atomic ha violado una máquina macOS, puede extraer varios tipos de información del software en el dispositivo. El malware se dirige a billeteras de criptomonedas de escritorio como Electrum, Binance, Exodus y Atomic, así como a más de 50 extensiones de billetera de criptomonedas, incluidas Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi. y BinanceChain.
Atomic también roba datos del navegador web, como autorellenos, contraseñas, cookies e información de tarjetas de crédito de Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera y Vivaldi. Además, puede recopilar información del sistema, como el nombre del modelo, el UUID del hardware, el tamaño de la RAM, el recuento de núcleos, el número de serie y más.
Además, Atomic permite a los operadores robar archivos de los directorios 'Escritorio' y 'Documentos' de la víctima, pero primero debe solicitar permiso para acceder a estos archivos, lo que puede brindar una oportunidad para que las víctimas detecten la actividad maliciosa.
Después de recopilar los datos, el malware los comprimirá en un archivo ZIP y lo transmitirá al servidor de comando y control (C&C) del actor de amenazas. El servidor C&C está alojado en 'amos-malware[.]ru/sendlog'.
Si bien macOS históricamente ha sido menos propenso a actividades dañinas que otros sistemas operativos como Windows, ahora se está convirtiendo en un objetivo cada vez más popular para los actores de amenazas de todos los niveles. Es probable que esto se deba al creciente número de usuarios de macOS, particularmente en los sectores empresarial y comercial, lo que lo convierte en un objetivo lucrativo para los ciberdelincuentes que buscan robar datos confidenciales u obtener acceso no autorizado a los sistemas. Como resultado, los usuarios de macOS deben permanecer atentos y tomar las precauciones necesarias para proteger sus dispositivos de estas amenazas.
