Atomic Stealer оновлюється: нові виклики у виявленні на macOS
Шкідливе ПЗ Atomic Stealer все ще залежить від того, що користувачі встановлюють фальшиве програмне забезпечення з прихованим завантаженням у файлі .dmg, але його стає все важче виявити. Atomic Stealer ховається в нелегальних завантаженнях програмного забезпечення, потрапляє в macOS через помилку користувача і залишається прихованим за допомогою скриптів, поки краде конфіденційні дані. Це відносно нове шкідливе ПЗ, виявлене у 2023 році, але тепер воно розвивається, аби його було важче виявити.
За даними Bitdefender, нова версія Atomic Stealer з’являється у їхніх рутинних перевірках на наявність шкідливих програм у дикій природі. Здається, про цю версію не повідомлялося широко, оскільки вона знаходиться в дивовижно малих файлах об’ємом близько 1,3 МБ.
Нова версія використовує скрипт Python і Apple Script для виконання своїх дій зі збору даних користувачів, залишаючись при цьому прихованою. Вона встановлюється, коли користувач завантажує нелегальне програмне забезпечення та встановлює його, обходячи вбудовану перевірку цифрового підпису.
Функція Apple Script схожа на раніше задокументоване шкідливе ПЗ під назвою RustDoor. Обидві версії Apple Script зосереджені на зборі конфіденційних файлів.
Atomic Stealer націлено на файли, пов’язані з встановленими розширеннями та додатками криптовалютних гаманців, даними браузера, системною інформацією та паролями. Перша підказка, яку шкідливе ПЗ надає користувачу, – це фальшиве діалогове вікно з запитом системного пароля macOS.
Як уникнути шкідливого ПЗ Atomic Stealer на macOS
Нова версія Atomic Stealer встановлюється на macOS так само, як і попередні. Або користувач навмисно шукає безкоштовні версії платних додатків, або був ненавмисно спрямований на фальшивий веб-сайт додатків – результат той самий.
Користувач завантажує нелегальний додаток, намагається його встановити, отримує інструкції щодо обходу macOS Gatekeeper і перевірки підпису, а потім встановлює.
Для уникнення подібних ситуацій радимо встановлювати програми виключно з офіційних та перевірених сайтів.