Новый троян-стилер для macOS продается в Telegram за $1000 в месяц

Новый троян-стилер для macOS продается в Telegram за $1000 в месяц

Новый троян-стилер для macOS продается в Telegram за $1000 в месяц

В закрытых группах Telegram продают новую вредоносную программу для операционной системы macOS. Получивший имя Atomic (некоторые называют AMOS) зловред заточен под кражу пользовательских данных.

Авторы Atomic предлагают его по подписочной модели: 1000 долларов в месяц. За эту сумму потенциальный покупатель получает файл DMG, содержащий 64-битный вредонос, написанный на Go.

Попав на macOS-устройство, Atomic вытаскивает пароли из связки ключей (Keychain), ворует файлы на дисках, cookies, а также сохраненные в браузере карты и учетные данные. Помимо этого, троян пытается извлечь данные 50 различных криптовалютных кошельков.

За тысячу долларов в месяц покупатели также получают полнофункциональную веб-панель и брутфорсер MetaMask. На продажу нового вредоноса в Telegram обратили внимание исследователи из Trellix и Cyble.

 

Интересно, что Atomic практически не детектируется на VirusTotal: лишь один антивирусный движок распознал угрозу.

Чтобы сходу вытащить основной пароль пользователя macOS, Atomic выводит фейковую форму ввода учетных данных. Поскольку софт часто требует пароль администратора, жертва может не заподозрить неладное. После этого вредонос автоматически повышает права.

 

Все украденные данные Atomic пакует в ZIP-архив и отправляет на сервер злоумышленника.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WireTap: атака на Intel SGX позволяет украсть ключ за 45 минут

Группа исследователей из Технологического института Джорджии и Университета Пердью продемонстрировала атаку под названием WireTap, которая позволяет обойти защиту Intel SGX (Software Guard Extensions).

Главная особенность вектора атаки (PDF) в том, что для неё достаточно физического доступа к серверу и простого оборудования стоимостью менее $1000 — его можно собрать из подержанных деталей.

Учёные создали пассивный DIMM-интерпозер, который подключается к шине памяти DDR4. С его помощью они смогли замедлить и анализировать трафик, затем очистили кэш и получили контроль над защищённым SGX-«анклавом». Дальше дело техники: всего за 45 минут они извлекли ключ аттестации машины.

С помощью украденного ключа можно:

  • подделывать аттестацию и ломать приватность сетей вроде Phala и Secret, где хранятся зашифрованные смарт-контракты;
  • взламывать систему Crust, имитируя доказательства хранения данных и подрывая доверие к узлам сети.

По сути, это позволяет нарушить и конфиденциальность, и целостность таких сервисов.

Intel признала существование атаки, но отметила, что она требует физического доступа и использования спецустройства. А это, по словам Intel, выходит за рамки их стандартной модели угроз.

Исследователи считают, что снизить риски можно с помощью более сложного шифрования памяти, увеличения энтропии, защиты подписи в аттестации и повышения скорости шины.

Напомним, несколькими днями ранее мы рассказывали про другой вектор атаки — Battering RAM. Он работает довольно изящно — через дешёвое «железо» стоимостью всего около $50.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru