" В последние годы macOS становится все более популярной среди пользователей, во многом благодаря удобному интерфейсу, который часто хвалят за простоту и удобство использования.
macOS также часто воспринимается как более безопасная, чем другие операционные системы. Несмотря на это, злоумышленники продолжают создавать вредоносное ПО для платформы macOS. Ранее было несколько случаев, когда злоумышленники обманывали пользователей macOS с помощью различных семейств вредоносных программ, включая MacStealer, RustBucket, DazzleSpy и т.д.
Cyble Research and Intelligence Labs (CRIL) недавно обнаружила канал Telegram, рекламирующий новое вредоносное ПО для кражи информации под названием Atomic macOS Stealer (AMOS). Вредоносное ПО специально разработано для macOS и может украсть конфиденциальную информацию с компьютера жертвы.
Вредоносное ПО распространяется в интернет в виде неподписанного файла образа диска (Setup.dmg), который при запуске просит жертву ввести свой системный пароль в поддельном запросе для повышения привилегий — метод, также использующийся MacStealer.
Фейковый запрос системного пароля.
Злоумышленник, стоящий за этим стилером, постоянно совершенствует это вредоносное ПО и добавляет новые возможности, чтобы сделать его более эффективным. Самое последнее обновление вредоносного ПО было выделено в сообщении Telegram от 25 апреля, демонстрирующем его последние функции.
Atomic macOS Stealer может красть различную информацию с компьютера жертвы, включая пароли для ключей, полную информацию о системе, файлы с рабочего стола и папку с документами и даже пароль macOS. Похититель предназначен для работы с несколькими браузерами и может извлекать автозаполнения, пароли, файлы cookie, кошельки и информацию о кредитных картах. Кроме того, AMOS может ориентироваться на криптокошельки, такие как Electrum, Binance, Exodus, Atomic и Coinomi.
Разработчик этого ПО также предоставляет дополнительные услуги, такие как веб-панель для управления жертвами, ПО для подбора и кражи seed-фразы и приватных ключей MetaMask, крипто-чекер и установщик dmg, после чего он делится логами через Telegram. Эти услуги предлагаются по цене $1000 в месяц.
Сообщение Telegram от разработчика вредоносного ПО.
Расширения криптокошельков
Похититель Atomic macOS также может извлекать информацию из расширений браузера криптокошелька. Эти расширения интегрированы в двоичный файл стилера с помощью жесткого кодирования, и на данный момент под прицелом более 50 расширений.
В приведенной ниже таблице указаны некоторые криптокошельки с соответствующими идентификаторами расширений браузера, на которые нацелено вредоносное ПО.
| acmacodkjbdgmoleebolmdjonilkdbch | Rabby Wallet |
| aeachknmefphepccionboohckonoeemg | Coin98 Wallet |
| afbcbjpbpfadlkmhmclhkeeodmamcflc | Math Wallet |
| aholpfdialjgjfhomihkjbmgjidlcdno | Exodus Web3 Wallet |
| aiifbnbfobpmeekipheeijimdpnlpgpp | Station Wallet |
| amkmjjmmflddogmhpjloimipbofnfjih | Wombat – Gaming Wallet for Ethereum & EOS |
| apnehcjmnengpnmccpaibjmhhoadaico | CWallet |
| bcopgchhojmggmffilplmbdicgaihlkp | Hycon Lite Client |
| bfnaelmomeimhlpmgjnjophhpkkoljpa | Phantom |
| bocpokimicclpaiekenaeelehdjllofo | XDCPay |
| cgeeodpfagjceefieflmdfphplkenlfk | EVER Wallet |
| cihmoadaighcejopammfbmddcmdekcje | LeafWallet |
| cjelfplplebdjjenllpjcblmjkfcffne | Jaxx Liberty |
| cjmkndjhnagcfbpiemnkdpomccnjblmj | Finnie |
| cmndjbecilbocjfkibfbifhngkdmjgog | Swash |
| cnmamaachppnkjgnildpdmkaakejnhae | Auro |
| copjnifcecdedocejpaapepagaodgpbh | Freaks Axie |
| cphhlgmgameodnhkjdmkpanlelnlohao | NeoLine |
| dhgnlgphgchebgoemcjekedjjbifijid | Crypto Airdrops & Bounties |
| dkdedlpgdmmkkfjabffeganieamfklkm | Cyano |
| dmkamcknogkgcdfhhbddcghachkejeap | Keplr |
| efbglgofoippbgcjepnhiblaibcnclgk | Martian Wallet for Sui & Aptos |
| egjidjbpglichdcondbcbdnbeeppgdph | Trust Wallet |
| ffnbelfdoeiohenkjibnmadjiehjhajb | Yoroi |
| fhbohimaelbohpjbbldcngcnapndodjp | BinanceChain |
| fhilaheimglignddkjgofkcbgekhenbh | Oxygen |
| flpiciilemghbmfalicajoolhkkenfel | ICONex |
| fnjhmkhhmkbjkkabndcnnogagogbneec | Ronin |
| fnnegphlobjdpkhecapkijjdkgcjhkib | Harmony Wallet |
| hcflpincpppdclinealmandijcmnkbgn | KHC |
| hmeobnfnfcmdkdcmlblgagmfpfboieaf | XDEFI |
| hnfanknocfeofbddgcijnmhnfnkdnaad | Coinbase |
| hnhobjmcibchnmglfbldbfabcgaknlkj | Flint Wallet |
| hpglfhgfnhbgpjdenjgmdgoeiappafln | Guarda |
| ibnejdfjmmkpcnlpebklmnkoeoihofec | TronLink |
| imloifkgjagghnncjkhggdhalmcnfklk | Trezor Password Manager |
| jojhfeoedkpkglbfimdfabpdfjaoolaf | Polymesh |
| klnaejjgbibmhlephnhpmaofohgkpgkd | ZilPay |
| kncchdigobghenbbaddojjnnaogfppfj | iWallet |
| kpfopkelmapcoipemfendmdcghnegimn | Liquality |
| lodccjjbdhfakaekdiahmedfbieldgik | DAppPlay |
| mfhbebgoclkghebffdldpobeajmbecfk | Starcoin |
| mnfifefkajgofkcjkemidiaecocnkjeh | TezBox |
| nhnkbkgjikgcigadomkphalanndcapjk | CLW |
| nkbihfbeogaeaoehlefnkodbefgpgknn | Metamask |
| nknhiehlklippafakaeklbeglecifhad | Nabox |
| nlbmnnijcnlegkjjpcfjclmcfggfefdm | MewCx |
| nlgbhdfgdhgbiamfdfmbikcdghidoadd | Byone |
| nphplpgoakhhjchkkhmiggakijnkhfnd | Ton |
| ookjlbkiijinhpmnjffcofjonbfbgaoc | Temple |
| pdadjkfkgcafgbceimcpbkalnfnepbnk | KardiaChain |
| pnndplcbkakcplkjnolgbkdgjikjednm | Tron Wallet & Explorer – Tronium |
| pocmplpaccanhmnllbbkpgfliimjljgo | Slope |
| ppdadbejkmjnefldpcdjhnkpbjkikoip | Oasis |
