Atomic macOS Stealer (AMOS), ein brandneuer Datenklau-Virus, der auf Apples macOS-Computersystem abzielt, wird derzeit von Hackern auf Telegram für eintausend Dollar pro Monat angeboten. Dieser Neuzugang reiht sich ein in eine Reihe mit der Malware MacStealer. Laut Cyble-Forschern kann der Atomic macOS Stealer verschiedene Informationen vom Computer des Opfers stehlen, darunter Keychain-Passwörter, Systeminformationen, Dateien vom Schreibtisch, Dokumentenordner und sogar das macOS-Passwort.

Der Virus ist auch in der Lage, Informationen von vielen Internetseiten und digitalen Geldbörsen zu stehlen, darunter Atomic, Binance, Coinomi, Electrum und Exodus. Eine leicht zugängliche Online-Schnittstelle zur Kontrolle der Betroffenen steht auch Hackern zur Verfügung, die diesen Virus von seinen Schöpfern kaufen.

Die Disc-Foto-Datei (Setup.dmg), die die Schadsoftware enthält, ist nicht registriert. Er verleitet den Benutzer dazu, den Passcode seines Computers in ein gefälschtes Popup-Fenster einzugeben, um die Berechtigungen zu erhöhen und unrechtmäßige Aktionen durchzuführen. Auch MacStealer arbeitet mit dieser Methode.

Lesen Sie auch: “Google schaltet CryptBot aus: Über 670K Computer infiziert”

Auch wenn die Benutzer durch einen Trick dazu gebracht werden können, Viren zu installieren und zu betreiben, während sie sich als echte Programme ausgeben, ist der erste Hacking-Vektor, der die bösartige Software überträgt, nicht ohne weiteres erkennbar. Das Suffix “Notion-7.0.6.dmg”, das darauf hindeutet, dass es als das bekannte Notizprogramm verbreitet wurde, erscheint auf dem Atomic-Stealer-Artefakt, das am 24. April 2023 an VirusTotal gemeldet wurde. Die Distributionsformate“Photoshop CC 2023.dmg” und “Tor Browser.dmg” werden von weiteren Viren verwendet, die vom MalwareHunterTeam entdeckt wurden.

Der Virus erfasst Systeminformationen, Dokumente, den iCloud-Schlüsselbund, in Internetbrowsern gespeicherte Daten (z. B. Anmeldeinformationen, Autofill, Cookies und Zahlungskartendaten) und Plugins für Krypto-Wallets, sobald er ausgeführt wurde. Nach der Komprimierung aller Informationen werden diese als komprimierte ZIP-Datei an einen entfernten Computer gesendet, der sie dann an bereits eingerichtete Telegram-Gruppen weiterleitet.

Diese Entwicklung zeigt, dass macOS ein zunehmend lukratives Ziel für Cyberkriminelle wird. Daher sollten Benutzer nur Software von vertrauenswürdigen Websites herunterladen und installieren, die Zwei-Faktor-Authentifizierung aktivieren, die App-Richtlinien überprüfen und keine verdächtigen Links öffnen, die sie per E-Mail oder SMS erhalten haben.