Mac-plattformen er fremdeles den aller tryggeste plattformen når det gjelder forekomsten av skadevare, men bildet er i ferd med å endre seg. Nå rapporteres det om en ny trussel som Mac-folket bør være oppmerksomme på, rapporterer blant andre nettstedet Security Week.
Sikkerhetsselskapet Cyble omtaler nå en skadevare døpt Atomic macOS Stealer, forkortet AMOS. Som navnet antyder dreier det seg om en ondsinnet programvare designet for å stjele sensitive data fra offerets maskin.
Kan hente ut «alle» data
– Atomic macOS Stealer kan stjele ulike typer informasjon fra offerets maskin, inkludert Keychain-passord (Apples passordhåndteringstjeneste, journ.anm.), komplett systeminformasjon, filer fra desktop- og dokumentmappen, og til og med macOS-passordet, skriver Cyble.
Ifølge sikkerhetsselskapet er programvare også designet for å hente ut data fra en rekke ulike nettlesere, slik som autofill-data, passord, informasjonskapsler (cookies) og kredittkortinformasjon. Blant nettleserne som er rammet finner vi Chrome, Edge, Firefox, Opera, Vivaldi og Brave.
Ny Mac-skadevare bruker populær meldingsapp til å stjele passord
AMOS kan også hente ut data fra kryptolommebøker, deriblant Electrum, Binance, Exodus, Atomic og Coinomi. Med andre ord er den ondsinnede programvaren svært allsidig når det gjelder dataene som den kan stjele fra offeret.
Cybles etterforskning av skadevaren indikerer at bakmennene kontinuerlig jobber med å forbedre programvaren og bygge inn ny funksjonalitet for å gjøre den mer effektiv.
AMOS-programvaren markedsføres via en kanal på den anonyme meldingstjenesten Telegram, som etter hvert har blitt et yndet verktøy for ondsinnede aktører. Skadevaren markedsføres som en abonnementstjeneste til en pris på 1000 dollar per måned, over 10.000 kroner.
Sprer seg trolig via phishing
Dataene som hentes ut fra ofrene komprimeres i en Zip-fil og sendes til en C&C-server (command and control), og også til en rekke forskjellige Telegram-kanaler, opplyser sikkerhetsselskapet.
Cyble har ikke gått i detalj om akkurat hvordan skadevaren sprer seg, men sier den kan installeres via phishing-nettsider og ved å utnytte sårbarheter i systemet – uten at det er klart hvilke sårbarheter det dreier seg om. Det er også uvisst akkurat hvor utbredt skadevaren er, og hvilke regioner som er hardest rammet.
Ifølge sikkerhetsselskapet har Mac-plattformen blitt mer populær blant skadevareaktører den siste tiden, nettopp fordi plattformen ofte benyttes av høyt profilerte personer – som igjen har sammenheng med plattformens solide sikkerhetsmekanismer.
Som vanlig er rådene å alltid installere programvare fra de offisielle kanalene, bruke sterke passord og flerfaktorautentisering der hvor det er mulig, og være forsiktig med å gi tillatelser. Lenker i e-poster bør også aldri åpnes uten at man er trygg på kildene.
Flere tekniske detaljer kan du finne hos Cyble.
Sikkerhetsforskere: Ny skadevare ligger og «venter» i tusenvis av Mac-maskiner