נוזקה "אטומית": גונבת סיסמאות וארנקים ממכשירי mac
הנוזקה בעלת השם ה-"מפוצץ" נמכרת להאקרים בערוצי טלגרם תמורת 1,000 דולר ● כיצד היא פועלת?
באחרונה חשפו חוקרי אבטחת הסייבר של Cyble נוזקה חדשה, Atomic macOS, שמכוונת לתקוף מחשבי mac. הנוזקה מוצעת להשכרה בערוצי טלגרם פרטיים תמורת 1,000 דולר, וכינוייה הוא AMOS.
אנליסטים ציינו כי עלות הנוזקה גבוהה, וההאקרים שרוכשים אותה מוכנים לשלם את המחיר הגבוה עקב העובדה שהיא תוכנתה במיוחד כדי לפעול נגד רכיבי מחשוב מבוססי מערכות macOS. החוקרים ציינו שהיא מסוגלת לגנוב כמה דברים: סיסמאות ומפתחות הצפנה, קבצים שנמצאים במערכת קבצים מקומיות, עוגיות, פרטי כרטיסי אשראי המאוחסנים בדפדפנים, וכן מאגרי מידע שלמים ומכלול נתונים שמצויים במערכות המידע.
"משתמשי מטבעות קריפטו – מטרה 'משתלמת' להאקרים"
Atomic macOS אף מתוכנתת נגד משתמשי מטבעות קריפטוגרפיים: היא עלולה לגנוב נתונים יקרי ערך מיותר מ-50 פלטפורמות פופולריות של מטבעות קריפטו. החוקרים ציינו כי "טקטיקה זו היא חלק ממגמה מטרידה בעולם הנוזקות לגניבת מידע, שזוהתה על ידי ההאקרים: משתמשי מטבעות קריפטוגרפיים הם מטרה 'משתלמת' לפעילותם הבלתי חוקית".
חוקרי חברת הגנת הסייבר הוסיפו ש-"גורמי האיום שפיתחו את הנוזקה גונבת המידע הזו עסוקים בהמשך הפיתוח שלה, ומוסיפים לה עוד ועוד תכונות ויכולות חדשות. זהו פרויקט פיתוח לכל דבר ועניין, שנמשך באופן פעיל".
ההאקרים פרסמו את העדכון האחרון של הנוזקה בטלגרם בשבוע שעבר, ב-25 באפריל. המפעילים הודיעו בנוסף על כמה שירותי פריצה נוספים: פאנל וירטואלי לניהול הקורבנות; מתקפת Brute-forcing לניחוש סיסמאות, שנעשית בצורה מוסווית; גניבת Seed – ההון הראשוני שמשמש להקמת מיזם; גניבת מפתחות פרטיים; בודק קריפטו; התקנת DMG (קובץ בפורמט ייחודי הפועל בסביבת מערכת ההפעלה האמורה; התקנת תוספים; וניתוח טכני.
עם השימוש בנוזקה, היא מוסווית כקובץ תמונה לא חתום בשם Setup.dmg. לאחר מכן, כשהיא מתחילה לפעול, היא מנחה את הקורבן להזין את סיסמת המערכת שלו – כדי לקבל הרשאות שאיתן ההאקר עלול לבצע עוד פעילויות בלתי חוקיות.
עדיין לא ברור איך הנוזקה מועברת
החוקרים ציינו שעדיין לא ברור כיצד הנוזקה מועברת בפעם הראשונה אל המשתמשים. הם העלו את ההשערה שהיא מוסווית לתוכנה אותנטית, כדי להערים על משתמשים להוריד ולהפעיל אותה.
החוקרים רשמו את הנוזקה החדשה ואת פרטיה ב-VirusTotal בשבוע שעבר, תחת השם "Notion-7.0.6.dmg". שם זה מציין כי הנוזקה מופצת באופן נרחב.
הם סיימו את הדיווח שלהם אודות הנוזקה החדשה בכמה המלצות: הקפידו להוריד תוכנות מחנות אפל הרשמית בלבד; ודאו שיש לכם תוכנות אנטי וירוס מעודכנות; אל תשתמשו בסיסמאות שנעשה בהן שימוש רב או שהן ידועות; השתמשו תמיד בסיסמאות חזקות וייחודיות; הקפידו להפעיל תכונות אבטחה ביומטריות; אל תפתחו קבצים מצורפים או קישורים שקיבלתם במייל משולח לא ידוע; ושמרו תמיד את המערכות ואת המכשירים שלכם מעודכנים.
תגובות
(0)