System operacyjny macOS firmy Apple był tradycyjnie uważany za bezpieczniejszy niż Windows, jeśli chodzi o bycie celem dla autorów złośliwego oprogramowania; jednak to się zmieniło, ponieważ platforma Mac stała się bardziej popularna ze względu na zwiększoną sprzedaż laptopów i komputerów stacjonarnych Mac w ciągu ostatniej dekady.
Nowe złośliwe oprogramowanie dla komputerów Mac jest teraz dostępne na wolności w Telegramie jako narzędzie do wypożyczania oprogramowania za 1000 USD miesięcznie. Nowe złośliwe oprogramowanie, które nosi pseudonim „Atomic macOS Stealer (AMOS)”, zostało niedawno wykryte na Telegramie by Cyble Research. Jest przeznaczony do kradzieży poufnych informacji z dysku twardego komputera Mac, w tym nazw użytkowników, haseł i innych cennych informacji.
Nieznany autor złośliwego oprogramowania stworzył Atomic macOS Stealer i podobno nadal pracuje za kulisami, aby go „ulepszyć” i zwiększyć jego skuteczność. Aktualnie dostępna wersja AMOS może uzyskiwać dostęp do zawartości folderów na pulpicie i dokumentów, informacji systemowych, haseł pęku kluczy i hasła do systemu Mac.
Złośliwe oprogramowanie atakuje wiele przeglądarek — w tym Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Yandex i Vivaldi — wyodrębniając pliki cookie, portfele, automatycznie uzupełniane informacje, hasła i informacje o kartach kredytowych. Złośliwe oprogramowanie atakuje również kryptowaluty, takie jak Electrum, Exodus, Atomic, Binance i Coinomi.
Złośliwe oprogramowanie AMOS nie kończy się jednak na tym, ponieważ atakuje również narzędzie do zarządzania hasłami Keychain macOS, wydobywając informacje z laptopa lub komputera stacjonarnego Mac ofiary. Pęk kluczy został zaprojektowany, aby umożliwić użytkownikom bezpieczne przechowywanie poufnych informacji, takich jak hasła, informacje o kartach kredytowych, dane logowania do witryny internetowej i nie tylko — i często jest synchronizowany z iPhone’a i iPada użytkownika za pośrednictwem iCloud.
Atakujący korzystający z AMOS mogą kontrolować złośliwe oprogramowanie za pomocą panelu internetowego, co pozwala im łatwo zarządzać celami. Panel internetowy zawiera również narzędzia umożliwiające hakerom brutalne wymuszanie kluczy prywatnych. Złośliwe oprogramowanie i towarzysząca mu usługa są dostępne do wynajęcia w Telegramie dla każdego, kto chce zapłacić 1000 USD miesięcznie.
Złośliwe oprogramowanie jest instalowane na komputerze Mac, gdy użytkownik otwiera plik.dmg i instaluje aplikację zawierającą Atomic macOS Stealer. Po zainstalowaniu złośliwe oprogramowanie zaczyna kopać w poszukiwaniu poufnych informacji, gromadzić je, archiwizować w pliku.ZIP i wysyłać na zdalny serwer.
Złośliwe oprogramowanie wykorzystuje fałszywe monity systemowe w celu uzyskania dostępu do hasła do systemu Mac, jednocześnie żądając dostępu do plików znajdujących się na pulpicie i w folderze Dokumenty.
Użytkownicy mogą łatwo uniknąć zainfekowania swojego komputera złośliwym oprogramowaniem, po prostu nie otwierając pliku.dmg i nie instalując ładunku. Jak zwykle tutaj obowiązuje standardowe ostrzeżenie o nieinstalowaniu niezaufanego oprogramowania z niezweryfikowanych źródeł; najbezpieczniejszym podejściem jest instalowanie oprogramowania tylko z Mac App Store, gdzie aplikacje są sprawdzane przed ich wydaniem. Użytkownicy komputerów Mac powinni również zawsze używać silnych i unikalnych haseł, a także uwierzytelniania wieloskładnikowego i uwierzytelniania biometrycznego, jeśli są dostępne.
Użytkownicy nigdy nie powinni również klikać linków w e-mailach i wiadomościach, a także unikać otwierania jakichkolwiek załączników w e-mailach. Powinni również zawsze dokładnie rozważyć, dlaczego aplikacja może żądać dostępu do danych, zanim udzielą jej pozwolenia, i powinni aktualizować swoje aplikacje i systemy operacyjne do najnowszej wersji. Osobiście poleciłbym również zainwestowanie w ochronę przed złośliwym oprogramowaniem, taką jak ta oferowana przez Malwarebytes, która jest preferowaną przez autora metodą ochrony.