PSA: вредоносное ПО Atomic macOS Stealer может скомпрометировать пароли iCloud Keychain, кредитные карты и криптокошельки

Еще в марте мы обнаружили вредоносное ПО для macOS под названием MacStealer, способное скомпрометировать пароли iCloud Keychain, информацию о кредитных картах, файлы и многое другое. Теперь новое вредоносное ПО под названием Atomic macOS Stealer продается как услуга злоумышленникам, которые могут быть более опасными.

В этом году мы увидели отчет Malwarebytes о состоянии вредоносных программ на Mac, а также другое исследование Elastic Security Labs. В последнем результаты показали, что только 6% всех вредоносных программ затронули компьютеры Mac. Но даже несмотря на то, что это с большей вероятностью затронет Windows и Linux, злоумышленники активно разрабатывают вредоносное ПО специально для macOS, и важно сохранять усердие.

С вредоносной программой MacStealer, которую мы видели в марте, она действительно была мощной, но, вероятно, в целом представляла меньший риск, поскольку macOS Gatekeeper должен блокировать ее установку.

Cyble Research & Intelligence Labs (через MacRumors) недавно обнаружила новое вредоносное ПО Atomic macOS Stealer (AMOS), которое рекламировалось для продажи в Telegram. Агент, занимающийся маркетингом, регулярно обновляет вредоносное ПО и берет за это 1000 долларов в месяц.

Примечательно, что Cyble не упомянул macOS Gatekeeper как средство защиты нового AMOS в своем техническом анализе, поэтому он может оказаться более опасным, чем MacStealer.

Что умеет Atomic macOS Stealer (AMOS)?

Если AMOS установлен, он может скомпрометировать длинный список элементов, включая пароли iCloud Keychain; системный пароль macOS; файлы cookie, пароли и данные кредитной карты из Chrome, Firefox, Brave, Edge, Opera и других сервисов. Он также может скомпрометировать криптокошельки, включая Atomic, Binance, Exodus, Electrum, MetaMask и многие другие.

Злоумышленник, продающий вредоносное ПО как услугу, также включает в себя веб-панель, инструмент Brute MetaMask, журналы в Telegram с уведомлениями и многое другое для покупателей.

Вот злоумышленник, продвигающий вредоносное ПО в Telegram:

После компрометации информации пользователя вредоносное ПО сжимает данные в ZIP-файл и отправляет его обратно злоумышленнику через URL-адрес C&C-сервера.

У Cyble есть подробная информация о том, как работает вредоносное ПО, в своем посте здесь.

Как защититься от AMOS и других вредоносных программ

Cyble также поделился напоминанием о передовых методах установки приложений и более широких привычках безопасности. Хотя вы, вероятно, знаете это, может быть полезно напомнить друзьям и семье 😁:

Загружайте и устанавливайте программное обеспечение только из официального Apple App Store. Используйте известный антивирус и пакет программного обеспечения для интернет-безопасности в вашей системе. Используйте надежные пароли и применяйте многофакторную аутентификацию везде, где это возможно. Включите биометрические функции безопасности, такие как отпечатки пальцев или распознавание лиц, для разблокировки устройства везде, где это возможно. Будьте осторожны, открывая любые ссылки, полученные по электронной почте, доставленной вам. Будьте осторожны при включении любых разрешений. Обновляйте свои устройства, операционные системы и приложения.

Как проверить свой Mac на наличие вредоносных программ

Если вам интересно проверить свой Mac, чтобы убедиться, что на нем нет вредоносного или рекламного ПО, Malwarebytes предлагает бесплатное приложение (для частных лиц) для его поиска и удаления.