Cybersicherheitsforscher haben eine aktualisierte Version eines macOS Information-Stealer namens Atomic (oder AMOS) identifiziert und festgestellt, dass die Bedrohungsakteure hinter der Malware aktiv daran arbeiten, ihre Fähigkeiten zu verbessern.
„Es sieht so aus, als ob Atomic Stealer Ende 2023 aktualisiert wurde, als die Entwickler die Payload-Verschlüsselung eingeführt haben, um die Erkennungsregeln zu umgehen“, sagte Jérôme Segura von Malwarebytes in einem Bericht am Mittwoch.
Atomic Stealer tauchte erstmals im April 2023 zum monatlichen Preis von 1.000 US-Dollar auf. Er ist in der Lage, sensible Informationen von einem kompromittierten Host zu stehlen, darunter Keychain-Passwörter, Sitzungscookies, Dateien, Kryptowallets, Systemmetadaten und das Maschinenpasswort über einen gefälschten Hinweis.
In den letzten Monaten wurde beobachtet, dass die Malware über Malvertising und kompromittierte Websites unter dem Vorwand legitimer Software- und Webbrowser-Updates verbreitet wird.
Die neueste Analyse von Malwarebytes zeigt, dass Atomic Stealer nun für eine stattliche monatliche Mietgebühr von 3.000 US-Dollar angeboten wird. Die Akteure führen eine Promotionaktion zu Weihnachten durch und bieten die Malware zu einem ermäßigten Preis von 2.000 US-Dollar an.
Neben der Implementierung von Verschlüsselung, um die Erkennung durch Sicherheitssoftware zu erschweren, haben Kampagnen zur Verbreitung von Atomic Stealer eine leichte Änderung durchlaufen. Dabei werden Google-Suchanzeigen verwendet, die Slack imitieren, um Atomic Stealer oder einen Malware-Loader namens EugenLoader (auch FakeBat genannt) je nach Betriebssystem zu verbreiten.
Es ist erwähnenswert, dass eine im September 2023 entdeckte Malvertising-Kampagne eine betrügerische Website für die TradingView Charting-Plattform nutzte, um NetSupport RAT zu verbreiten, wenn sie von Windows besucht wurde, und Atomic Stealer, wenn das Betriebssystem macOS ist.
Die bösartige Slack-Disk-Image (DMG)-Datei fordert den Benutzer beim Öffnen auf, sein Systempasswort einzugeben, wodurch die Bedrohungsakteure sensible Informationen sammeln können, auf die nur eingeschränkter Zugriff besteht. Ein weiteres entscheidendes Merkmal der neuen Version ist die Verwendung von Verschleierung, um den Command-and-Control-Server zu verbergen, der die gestohlenen Informationen empfängt.
„Da Stealer weiterhin eine Hauptbedrohung für Mac-Benutzer darstellen, ist es wichtig, Software nur von vertrauenswürdigen Quellen herunterzuladen“, sagte Segura. „Bösartige Anzeigen und Täuschungswebseiten können jedoch sehr irreführend sein, und es bedarf nur eines einzigen Fehlers (Eingabe Ihres Passworts), damit die Malware Ihre Daten sammelt und exfiltriert.“