Atomic Stealer оновлюється: нові виклики у виявленні на macOS

Шкідливе ПЗ Atomic Stealer все ще залежить від того, що користувачі встановлюють фальшиве програмне забезпечення з прихованим завантаженням у файлі .dmg, але його стає все важче виявити. Atomic Stealer ховається в нелегальних завантаженнях програмного забезпечення, потрапляє в macOS через помилку користувача і залишається прихованим за допомогою скриптів, поки краде конфіденційні дані. Це відносно нове шкідливе ПЗ, виявлене у 2023 році, але тепер воно розвивається, аби його було важче виявити.

За даними Bitdefender, нова версія Atomic Stealer з’являється у їхніх рутинних перевірках на наявність шкідливих програм у дикій природі. Здається, про цю версію не повідомлялося широко, оскільки вона знаходиться в дивовижно малих файлах об’ємом близько 1,3 МБ.

Нова версія використовує скрипт Python і Apple Script для виконання своїх дій зі збору даних користувачів, залишаючись при цьому прихованою. Вона встановлюється, коли користувач завантажує нелегальне програмне забезпечення та встановлює його, обходячи вбудовану перевірку цифрового підпису.

Функція Apple Script схожа на раніше задокументоване шкідливе ПЗ під назвою RustDoor. Обидві версії Apple Script зосереджені на зборі конфіденційних файлів.

Atomic Stealer націлено на файли, пов’язані з встановленими розширеннями та додатками криптовалютних гаманців, даними браузера, системною інформацією та паролями. Перша підказка, яку шкідливе ПЗ надає користувачу, – це фальшиве діалогове вікно з запитом системного пароля macOS.