Аналитики Cyble обратили внимание, что злоумышленники рекламируют новый инфостилер Atomic macOS Stealer (AMOS), который, как понятно из названия, ориентирован на macOS. Вредонос распространяется через Telegram, и подписка на него стоит 1000 долларов в месяц.
За эту цену покупатели получают файл DMG (Setup.dmg), содержащий малварь, написанную на Go и предназначенную для кражи паролей из Keychain, файлов из локальной файловой системы, паролей, файлов cookie и данных банковских карт, хранящихся в браузерах. Кроме того, AMOS пытается похитить данные более чем из 50 криптовалютных расширений и кошельков, выключая Binance, Coinomi, Electrum и Exodus.
Преступники получают доступ к веб-панели для удобного управления данным жертв, брутфорсеру MetaMask, установщику DMG, а также имеют возможность получать похищенную информацию прямо через в Telegram.
Стоит отметить, что на момент выхода отчета исследователей вредоносный файл DMG практически не обнаруживался защитными продуктами на VirusTotal.
Распространение Atomic полностью ложиться на самих его «покупателей», то есть для этого могут использоваться фишинговые письма, вредоносная реклама, сообщения в социальных сетях, SMS, методы черного SEO, торренты и многое другое.
При выполнении вредоносного файла DMG малварь отображает поддельное окно для ввода системного пароля, что позволяет ее операторам получить повышенные привилегии в системе жертвы и перейти к сбору данных.
Интересно, что ИБ-эксперты из компании Trellix, так же изучившие этого вредоноса, заметили, что IP-адрес, связанный с C&C-сервером Atomic, и имя сборки пересекаются с Raccoon Stealer, то есть за этими угрозами могут стоять одни и те же злоумышленники.
Источник: xakep