Atomic macOS Stealer (AMOS), een gloednieuw datastalend virus gericht op Apple’s macOS-computersysteem, wordt momenteel door hackers op Telegram aangeboden voor duizend dollar per maand. Deze nieuwe toevoeging voegt zich bij de MacStealer malware. Volgens onderzoekers van Cyble kan de Atomic macOS Stealer verschillende informatie van de computer van het slachtoffer stelen, waaronder sleutelhangerwachtwoorden, systeeminformatie, bestanden van het bureaublad, de documentenmap en zelfs het macOS-wachtwoord.

Het virus is ook in staat om informatie te stelen van vele internetsites en digitale valutawallets, waaronder Atomic, Binance, Coinomi, Electrum en Exodus. De hackers die dit virus kopen van de makers ervan, hebben ook een online interface om de lijders te controleren.

Het diskfotobestand (Setup.dmg) dat de kwaadaardige software bevat, is niet geregistreerd. Het misleidt de gebruiker in het typen van hun computer passcode op een valse pop-up eenmaal gelanceerd om machtigingen te verhogen en onwettige acties uit te voeren. MacStealer past deze methode ook toe.

Lees ook: “Google haalt CryptBot onderuit: meer dan 670K computers geïnfecteerd”

Hoewel gebruikers kunnen worden misleid om virussen te installeren en te gebruiken terwijl ze zich voordoen als echte programma’s, is de eerste hackvector die de kwaadaardige software overbrengt niet direct zichtbaar. Het achtervoegsel “Notion-7.0.6.dmg,” wat impliceert dat het is verspreid als het bekende notitieprogramma, verschijnt op het Atomic stealer artefact dat op 24 april 2023 aan VirusTotal is gerapporteerd. De distributieformaten“Photoshop CC 2023.dmg” en “Tor Browser.dmg” worden gebruikt door bijkomende virussen ontdekt door het MalwareHunterTeam.

Het virus legt systeeminformatie, documenten, iCloud Keychain, gegevens in internetbrowsers (zoals inloggegevens, autofill, cookies en betaalkaartgegevens) en plugins voor cryptowallets vast zodra het is uitgevoerd. Na de compressie van alle informatie wordt deze als een gecomprimeerd ZIP-bestand naar een externe computer gestuurd, die vervolgens naar reeds opgezette Telegram-groepen gaat.

Deze ontwikkeling geeft aan dat macOS een steeds lucratiever doelwit wordt voor cybercriminelen. Daarom moeten gebruikers alleen software downloaden en installeren van betrouwbare sites, tweefactorauthenticatie inschakelen, het app-beleid bekijken en vermijden dat ze verdachte links openen die ze via e-mail of sms ontvangen.