Malware Mac: "Atomic macOS Stealer" ruba password, dati del browser e portafogli crittografici

Un malware relativamente nuovo chiamato Ladro atomico macOSin breve AMOS, sta attualmente facendo il giro. Gli obiettivi sono i computer Apple e le password, le criptovalute, i dati del browser, i file e altro ancora memorizzati su di essi. Inoltre, il malware dovrebbe poter essere utilizzato per iniettare altro software e causare ancora più danni. La cosa buona è che AMOS non può operare in modo completamente indipendente. Sono necessarie autorizzazioni per accedere al sistema, le cui finestre di query non sembrano reali. Quindi, se sei attento e segui il noto design dei messaggi macOS, sei al sicuro. Ma ci sono altre misure protettive.

Atomic macOS Stealer, o AMOS in breve, è il nome di un nuovo malware aggressivo che prende di mira un'ampia varietà di dati di Apple Mac. Qui puoi ottenere una panoramica del malware e suggerimenti per la protezione contro di esso.
Atomic macOS Stealer, o AMOS in breve, è il nome di un nuovo malware aggressivo che prende di mira un'ampia varietà di dati di Apple Mac. Qui puoi ottenere una panoramica del malware e suggerimenti per la protezione contro di esso.

AMOS è distribuito come malware a noleggio tramite Telegram

Secondo gli studi attuali, l'Atomic macOS Stealer, le cui singole funzioni sono descritte di seguito, viene utilizzato principalmente tramite l'app Messenger Telegram offerto in vendita. Lì, i criminali possono assicurarsi l'uso di AMOS per 1.000 dollari USA al mese. Le persone che offrono il malware effettuano il furto di dati tramite i propri server di comando e controllo, in modo che possano essere pagate per rimuovere i dati ottenuti. Allo stesso tempo, AMOS è in continua evoluzione per offrire sempre più funzionalità progettate per rubare account online, identità e denaro. Una funzione "File Grabber" può essere utilizzata anche per copiare file e cartelle dal Mac attaccato.

Il malware Atomic macOS Stealer prende di mira il Mac di Apple

Sistema

  • Portachiavi: esporta tutte le password dal portachiavi Apple
  • Informazioni sul sistema: scheda tecnica completa del sistema utilizzato (modello Mac e versione del sistema operativo)
  • File Grabber: estrazione di file e cartelle dalle directory utente "Desktop" e "Documenti"
  • Password: Lettura della password dell'account utilizzata

Browser

  • Chrome: dati dei moduli (il cosiddetto riempimento automatico), password, cookie, portafogli, carte di debito o di credito 
  • Firefox: compilazione automatica, cookie
  • Brave: Compilazione automatica, password, cookie, portafogli, carte di debito o di credito
  • Edge: riempimento automatico, password, cookie, portafogli, carte di debito o di credito
  • Vivaldi: Compilazione automatica, password, cookie, portafogli, EC o carte di credito
  • Yandex: riempimento automatico, cookie, portafogli, carte di debito o di credito
  • Opera: riempimento automatico, password, cookie, portafogli, carte di debito o di credito
  • Opera GX: riempimento automatico, password, cookie, portafogli, carte di debito o di credito

Portafogli crittografici e plugin

  • Electrum
  • Binance
  • Exodus
  • Atomico
  • Coinomi
  • Oltre 60 plugin come MetaMask, Phantom e altri

Funzioni per l'utilizzo del malware

  • spazio web utilizzabile
  • MetaMask attacca con seme e chiave personalizzati
  • Cripto Checker
  • Semplice file di installazione dmg
  • Monitoraggio e notifiche tramite Telegram
In un modo o nell'altro, il malware AMOS viene offerto tramite Telegram. Fonte: blog.cyble.com
In un modo o nell'altro, il malware AMOS viene offerto tramite Telegram. Fonte: blog.cyble.com

Infezione da malware: come arriva AMOS su Mac?

Per ottenere AMOS sul Mac della vittima, i criminali hanno a disposizione un'ampia varietà di modi tramite Internet. Quindi il file di installazione potrebbe avere un'estensione cavallo di Troia contrabbandato o implementato in altro modo tramite download su un sito web. La query del motore di ricerca per un programma specifico, un collegamento in un'e-mail o un percorso simile può portare a questo. Pertanto, a questo punto, di nuovo il consiglio: non fare clic su alcun collegamento che ti viene inviato da fonti sconosciute! E se necessario, utilizza un altro canale di comunicazione per chiedere alle persone che presumibilmente ti hanno inviato un link se è stato davvero inviato da loro. I nomi noti possono certamente apparire in messaggi falsi.

Il malware AMOS è una grave minaccia per me e il mio Mac?

Qui vorrei dare un (piccolo) sì e un (grande) no. Perché non credo che i privati ​​siano l'obiettivo di a mirata attacco con AMOS. Ad un prezzo attuale di $ 1.000 al mese, penso che Atomic macOS Stealer prenderà di mira principalmente quei criminali che prendono di mira i sistemi di aziende, organizzazioni, agenzie governative e altre istituzioni. Inoltre, gruppi politici o comunque socialmente attivi potrebbero diventare bersagli. Tuttavia, non si può escludere un attacco a computer Mac privati, se non altro perché i dati di pagamento e i portafogli crittografici sono un obiettivo di AMOS. Qui, penso che il malware potrebbe essere distribuito tramite siti Web di download falsi ed e-mail di massa.

Come puoi proteggerti da AMOS e altri malware sul Mac?

È molto importante prestare attenzione a come appaiono i prompt e le altre finestre interattive dopo aver scaricato ed eseguito un file dmg o di archivio. Perché attualmente AMOS mostra una semplice finestra con un'icona a forma di ingranaggio che chiede la password di MacOS [sic!]. macOS è scritto in minuscolo. Inoltre, viene mostrato un semplice campo di input, manca la visualizzazione del nome dell'account attualmente utilizzato. Una vera richiesta di password macOS ha un aspetto diverso (vedi sotto). Tuttavia, poiché il malware è in continua evoluzione, il design potrebbe cambiare presto. Quindi presta particolare attenzione.

La query di installazione e autorizzazione di Atomic macOS Stealer attualmente è simile a questa. La richiesta di password falsa in particolare dovrebbe far scattare tutti i campanelli d'allarme. Fonte: blog.cyble.com
La query di installazione e autorizzazione di Atomic macOS Stealer attualmente è simile a questa. La richiesta di password falsa in particolare dovrebbe far scattare tutti i campanelli d'allarme. Fonte: blog.cyble.com
Per mostrarti le vere sfide della password, ho utilizzato un download di contenuti in GarageBand e un download dal Mac App Store. Sulla sinistra puoi vedere la richiesta della password per l'account attualmente utilizzato in macOS su Apple Mac. Sulla destra puoi vedere la query Touch ID per l'installazione dell'app. Sistema utilizzato: macOS Ventura.
Per mostrarti le vere sfide della password, ho utilizzato un download di contenuti in GarageBand e un download dal Mac App Store. Sulla sinistra puoi vedere la richiesta della password per l'account attualmente utilizzato in macOS su Apple Mac. Sulla destra puoi vedere la query Touch ID per l'installazione dell'app. Sistema utilizzato: macOS sta arrivando.

Ci sono anche questi suggerimenti e raccomandazioni per la protezione contro il malware sul Mac:

  • Non aprire alcun collegamento inviato tramite e-mail da sconosciuto Vengono presentati gli indirizzi dei mittenti
  • Non apre link che sconosciuto inviarti altrimenti (Messenger, iMessage, Airdrop, Ecc)
  • Dai un'occhiata da vicino alle finestre per la richiesta di diritti di accesso e password
  • Chiediti anche se l'app scaricata dovrebbe davvero aver bisogno dell'accesso richiesto
  • Quello che stai cercando esiste? App anche nel Mac App Store ufficiale, quindi scaricalo lì
  • Utilizza password complesse (2+ caratteri con numeri, lettere maiuscole e minuscole, caratteri speciali, ecc.) e abilita l'autenticazione a due fattori (XNUMXFA) ove possibile
  • Meglio usarlo dove possibile chiavi di accesso, Touch ID e/o Face ID come password tradizionali
  • Installa sempre l'ultima versione del sistema operativo (macOS, iOS, iPadOS, watchOS, ecc.) per colmare le lacune di sicurezza note

Fonte e ulteriori informazioni sull'argomento

Servito come fonte per questo post questo post nel blog di Cyble Research & Intelligence Labs. Per sbloccarlo completamente, devi registrarti con un indirizzo email per ulteriori informazioni. Poiché questo non deve essere confermato, puoi utilizzare un indirizzo immaginario o usa e getta. Oltre alle informazioni qui presentate, nel post del blog troverete uno sguardo ancora più tecnico su AMOS ed estratti dal codice del malware. L'articolo è scritto in inglese.

Ti è piaciuto l'articolo e le istruzioni sul blog ti hanno aiutato? Allora sarei felice se tu il blog tramite un'iscrizione stabile sosterrebbe.

Scrivi un commento

Il tuo indirizzo e-mail non verrà pubblicato. I campi obbligatori sono contrassegnati con * segnato

Nel blog di Sir Apfelot troverai consigli, istruzioni e recensioni sui prodotti Apple come iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini e Mac Studio.

Speciali