Malware pencuri informasi macOS baru bernama ‘Atomic’ (alias ‘AMOS’) sedang dijual ke penjahat dunia maya melalui saluran Telegram pribadi dengan berlangganan $1.000 per bulan.
Untuk harga yang lumayan ini, pembeli mendapatkan file DMG yang berisi malware berbasis Go 64-bit yang dirancang untuk menargetkan sistem macOS dan mencuri kata sandi gantungan kunci, file dari sistem file lokal, kata sandi, cookie, dan kartu kredit yang disimpan di browser.
Malware juga mencoba untuk mencuri data dari lebih dari 50 ekstensi cryptocurrency, yang telah menjadi target populer untuk malware pencuri informasi.
Untuk harga, penjahat dunia maya juga mendapatkan panel web siap pakai untuk manajemen korban yang mudah, pemaksa MetaMask, pemeriksa cryptocurrency, penginstal dmg, dan kemampuan untuk menerima log curian di Telegram.
Malware baru-baru ini ditemukan oleh a Peneliti Trelix dan peneliti di Laboratorium Cybleyang menganalisis sampel ‘Atomic’ dan melaporkan bahwa penulis merilis versi baru pada 25 April 2023, jadi ini adalah proyek yang dikembangkan secara aktif.
Pada saat penulisan, file dmg berbahaya masuk sebagian besar tidak terdeteksi di VirusTotaldi mana hanya satu dari 59 mesin AV menandainya sebagai berbahaya.
Mengenai distribusinya, pembeli bertanggung jawab untuk menyiapkan saluran mereka sendiri, yang mungkin mencakup email phishing, malvertisasi, postingan media sosial, pesan instan, SEO hitam, torrent bertali, dan banyak lagi.
Fitur atom
Atomic Stealer menawarkan serangkaian fitur pencurian data yang komprehensif, memberi operatornya peluang yang ditingkatkan untuk menembus lebih dalam ke sistem target.
Setelah menjalankan file dmg berbahaya, malware menampilkan permintaan kata sandi palsu untuk mendapatkan kata sandi sistemmemungkinkan penyerang mendapatkan hak istimewa yang lebih tinggi di mesin korban.
Ini adalah persyaratan untuk mengakses informasi sensitif, tetapi pembaruan di masa mendatang mungkin juga memanfaatkannya untuk mengubah pengaturan sistem atau memasang muatan tambahan.
Setelah kompromi pertama ini, malware mencoba mengekstrak file Kata sandi gantungan kuncipengelola kata sandi bawaan macOS yang menyimpan kata sandi WiFi, login situs web, data kartu kredit, dan informasi terenkripsi lainnya.
Setelah melakukan hal di atas, Atomic melanjutkan untuk mengekstrak informasi dari perangkat lunak yang berjalan pada mesin macOS yang dilanggar, termasuk yang berikut:
- Dompet cryptocurrency desktop: Electrum, Binance, Exodus, Atomic
- Ekstensi dompet Cryptocurrency: Total 50 ekstensi ditargetkan, termasuk Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi, dan BinanceChain.
- Data peramban web: pengisian otomatis, kata sandi, cookie, dan kartu kredit dari Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera, dan Vivaldi.
- Sistem Informasi: Nama model, UUID perangkat keras, ukuran RAM, jumlah inti, nomor seri, dan lain-lain.
Atomic juga memberi operator kemampuan untuk mencuri file langsung dari direktori ‘Desktop’ dan ‘Dokumen’ korban.
Namun, malware harus meminta izin untuk mengakses file-file ini, yang menciptakan peluang bagi korban untuk menyadari aktivitas berbahaya tersebut.
Saat mencuri data, malware akan mengemas semuanya ke dalam file ZIP dan kemudian mengirimkannya ke server perintah dan kontrol aktor ancaman, yang menurut Cyble terletak di “amos-malware[.]ru/sendlog.”
Dari sana, informasi yang dipilih dan arsip ZIP juga dikirim ke saluran Telegram pribadi operator.
Meskipun macOS tidak berada di pusatnya aktivitas pencuri info berbahayaseperti Windows, ini semakin menjadi sasaran para pelaku ancaman dari semua tingkat keahlian.
Grup APT Korea Utara baru-baru ini menerapkan pencuri info macOS baru di Serangan rantai pasokan 3CXmenggambarkan bahwa Mac sekarang menjadi target bahkan untuk grup peretasan yang disponsori negara.
