威胁行为者在 Telegram 上以每月 1,000 美元的价格为 Apple macOS 操作系统宣传一种名为Atomic macOS Stealer (或 AMOS)的新信息窃取器,与MacStealer等类似软件一起。
“Atomic macOS Stealer 可以从受害者的机器上窃取各种类型的信息,包括钥匙串密码、完整的系统信息、桌面和文档文件夹中的文件,甚至是 macOS 密码,”Cyble 研究人员在一份技术报告中说。
其他功能包括它能够从网络浏览器和加密货币钱包(如 Atomic、Binance、Coinomi、Electrum 和 Exodus)中提取数据。从开发者那里购买窃取器的威胁行为者还提供了一个随时可用的 Web 面板来管理受害者。
该恶意软件采用未签名的磁盘映像文件 (Setup.dmg) 的形式,在执行时会促使受害者在虚假提示中输入系统密码以提升权限并执行其恶意活动——MacStealer 也采用了这种技术。
用于传递恶意软件的初始入侵向量目前尚不清楚,但用户可能在合法软件的幌子下被操纵下载并执行它。
2023 年 4 月 24 日提交给 VirusTotal 的Atomic 窃取器工件也带有“Notion-7.0.6.dmg”的名称,这表明它正在作为流行的笔记应用程序进行传播。MalwareHunterTeam发现的其他样本已分发为“ Photoshop CC 2023.dmg ”和“ Tor Browser.dmg ”。
“诸如 Atomic macOS Stealer 之类的恶意软件可以通过利用漏洞或托管在网络钓鱼网站上来安装,”Cyble 指出。
Atomic 然后继续收集系统元数据、文件、iCloud Keychain 以及存储在 Web 浏览器中的信息(例如,密码、自动填充、cookie、信用卡数据)和加密钱包扩展,所有这些都被压缩成 ZIP 存档并发送到远程服务器。然后将编译信息的 ZIP 文件发送到预配置的电报频道。
这一发展是另一个迹象,表明 macOS 正日益成为民族国家 黑客组织之外的一个有利可图的目标,以部署窃取恶意软件,这使得用户必须仅从受信任的来源下载和安装软件,启用双因素身份验证,审查应用程序权限,并避免防止打开通过电子邮件或短信收到的可疑链接。
