Az Atomic stealer fejlődése
Az Atomic stealer egy malware-szolgáltatásként (Malware-as-a-Service, MaaS) működik, amelyet főként Telegram-csatornákon árulnak, havi mintegy 370 000 forintért (1000 USD). Eredetileg böngésző-jelszavakat, kriptotárcák adatait, valamint macOS-fájlokat lopott, ám mostanra fejlettebb támadási módokat is kínál. 2023 novemberében jelentek meg első szervezett kampányai macOS-en, idén szeptemberben pedig egy jelentős bűnszervezet tömegesen vetette be Apple gépeken. Korábban szoftverletöltő oldalakról terjedt, idén már konkrétan kriptotulajdonosokat és szabadúszókat céloznak megtévesztő interjúmeghívásokkal.
Így szereznek teljes hozzáférést
A vizsgált új változat központi eleme a .helper nevű futtatható fájl, amely rejtve kerül a felhasználó könyvtárába a fertőzés után. Egy másik rejtett script (.agent) gyakorlatilag állandóan újraindítja a .helper-t, miközben egy LaunchDaemon (com.finder.helper) gondoskodik arról, hogy induláskor automatikusan betöltődjön. Ehhez a malware az ellopott felhasználói jelszót is használja, így rendszergazdai szintű jogosultságokat szerez. Ezáltal a támadók távolról parancsokat adhatnak ki, billentyűleütéseket rögzíthetnek, további programokat telepíthetnek, vagy akár más belső rendszerekhez is hozzáférhetnek. Az észlelés elkerülése érdekében felismeri a virtuális környezeteket, és obfuszkálja a kódot.
Mellbevágó egyszerűség
Az Atomic új képességei azt mutatják, hogy a Mac-ek mind nagyobb célpontjai a kifinomult és kitartó támadásoknak, miközben a támadók gyakran szinte banális módszerekkel férnek hozzá a felhasználók adataihoz.
