最近��,在地下論壇中出現(xiàn)了許多 macOS 的信息竊密程序�,例如 Pureland、MacStealer和Amos Atomic Stealer�。其中,Atomic Stealer 提供了迄今為止最完整的功能���,例如竊取賬戶密碼����、瀏覽器數(shù)據(jù)����、會話 Cookie 與加密貨幣錢包信息。在 Telegram 的宣傳中��,攻擊者可以以每月 1000 美元的價格租用 Web 控制面板來管理攻擊活動�����。
不過攻擊者不止步于此�����,也一直在尋找各種方法通過不同版本的 Atomic Stealer 來攻擊 macOS 用戶����。近日,研究人員就發(fā)現(xiàn)了全新的 Atomic Stealer 變種。
Atomic Stealer 分發(fā)
目前��,攻擊者通過特定的 Telegram 頻道來分發(fā) Amos Atomic MacOS Stealer��。4 月 9 日開通的頻道中��,開發(fā)者以每月 1000 美元的價格提供控制面板租用服務(wù)��,并且提供最新基于磁盤鏡像的安裝程序�。
【資料圖】
通過 Telegram 宣傳
Payload 的分配與租用的攻擊者有關(guān),因此其實現(xiàn)方式各不相同���。目前為止��,在野觀察到的情況有偽裝成 Tor 瀏覽器等合法應(yīng)用程序的安裝程序�����,也有偽裝成常見軟件(Photoshop CC���、Notion ����、Microsoft Office 等)的破解版本。
偽裝成合法應(yīng)用程序
通過 Google Ads 投放的惡意廣告也是分發(fā)的途徑之一:
部分分發(fā) URL
Atomic Stealer 頻道目前擁有超過 300 名訂閱者,有部分訂閱者表示十分滿意該惡意軟件��。
表達支持的消息
Atomic Stealer 變種 A
虛假應(yīng)用程序是使用 Appify 的一個分支開發(fā)的�����,該腳本主要用于幫助制作 macOS 應(yīng)用程序�����。所有的 Atomic Stealer 目前都包含相同的����、Go 開發(fā)的可執(zhí)行文件,大約為 51.5MB����。
二進制文件分析
除了 Appify README 之外,Bundle 僅包含 Go 程序文件��、圖標(biāo)文件與 Info.plist�。
應(yīng)用程序結(jié)構(gòu)
當(dāng)前分發(fā)的應(yīng)用程序包都是使用默認(rèn)的 Appify 包標(biāo)識符構(gòu)建的,這可能是攻擊者為了逃避檢測故意的�。
變種 A 的行為
Atomic Stealer 并沒有進行持久化,這也是業(yè)界的一種趨勢�����。因為從 macOS Ventura 開始,蘋果增加了登錄項通知���,攻擊者也開始轉(zhuǎn)向一次性竊密��。盡管 Atomic Stealer 通過 AppleScript 欺騙獲取用戶登錄密碼的方式十分粗糙���,但仍然十分有效。
竊取用戶登錄密碼
攻擊者使用 osascript 創(chuàng)建對話框����,并將 hidden answer 參數(shù)傳遞給 display dialog 命令。這樣將創(chuàng)建一個類似身份驗證的對話框���,但用戶輸入的密碼明文會被攻擊者獲取�����,而且系統(tǒng)日志中也會進行記錄��。
display dialog "MacOS wants to access System PreferencesYou entered invalid password.Please enter your password." with title "System Preferences" with icon file "System:Library:CoreServices:CoreTypes.bundle:Contents:Resources:ToolbarAdvanced.icns" default answer "" giving up after 30 with hidden answer ?
對話框彈出的消息中包含語法與句法錯誤���,這表明開發(fā)者的母語可能不是英語。如果點擊取消只會不斷循環(huán)彈出對話框�,點擊確定后會通過 /usr/bin/dscl -authonly 來校驗是否輸入了有效密碼。通過 osascript 反復(fù)調(diào)用對話框����,很容易進行檢測。
密碼校驗
竊取完各種用戶憑據(jù)后��,Atomic Stealer 會向用戶彈出錯誤信息���。但從單詞拼寫錯誤以及錯誤消息不應(yīng)該包含取消按鈕來看�,攻擊者對英語與 AppleScript 都并不熟悉�。
成功竊取用戶數(shù)據(jù)后拋出錯誤信息
攻擊者主要是以經(jīng)濟獲利為動機而進行的網(wǎng)絡(luò)犯罪。
信息竊取函數(shù)
該惡意軟件包含竊取用戶鑰匙串與加密錢包密鑰的功能�����,例如 Atomic��、Binance�、Electrum 和 Exodus 等。Atomic Stealer 在內(nèi)存中生成一個名為 unix1 的進程來獲取鑰匙串���,并且針對 Chrome 和 Firefox 瀏覽器的擴展進行竊密�����。
Atomic Stealer 執(zhí)行鏈
Atomic Stealer 變種 B
根據(jù)某些樣本文件發(fā)現(xiàn)的 37.220.87.16�����,可以關(guān)聯(lián)到其他變種��。該變種文件在 VirusTotal 上的檢出率仍然為零�,且偽裝成游戲安裝程序。
新變種
該變種不再依賴應(yīng)用程序包進行分發(fā)����,而是通過原始 Go 二進制文件直接進行分發(fā)。以 Game Installer 為文件名的文件�����,在 4 月 13 日被上傳到 VirusTotal���。DMG 文件的圖標(biāo)中�,顯示了文本 Start Game�����。
程序圖標(biāo)
由于二進制文件并未攜帶簽名,必須用戶介入才能執(zhí)行����。
變種 B 的功能相比變種 A 更多��,主要集中在 Firefox 和 Chromium 瀏覽器上�����。變種 B 還新增了針對 Coinomi 錢包的竊密���。
變種 B 的主要函數(shù)
變體 A 和 B 都使用 /usr/bin/security 來查找 Chrome 密碼����。
security 2>&1 > /dev/null find-generic-password -ga "Chrome" | awk "{print $2}
查找 Chrome 密碼
根據(jù)變種 B 來看�,開發(fā)機的用戶名為 administrator。這與變種 A 不同�����,變種 A 開發(fā)機的用戶名為 iluhaboltov����。變種 B 中�,還發(fā)現(xiàn)了字符串 ATOMIC STEALER COOCKIE�����。
硬編碼字符串
與 Telegram 頻道中提供的軟件包不同��,此版本的 Atomic Stealer 在竊取信息方面更具選擇性��,似乎專門針對游戲與加密貨幣用戶�。
用戶 @Crypto-ALMV 于 4 月 29 日創(chuàng)建了一個相關(guān)的 Youtube 頻道,來宣傳針對加密貨幣錢包的產(chǎn)品功能��。但頻道����、用戶與視頻都處于早期階段,可能尚未正式啟用���。
Youtube 頻道信息
結(jié)論
隨著普及度越來越高��,針對 macOS 用戶的攻擊越來越多�。很多 macOS 的設(shè)備都缺乏良好的保護��,犯罪分子有很多機會可以進行攻擊。而且 Atomic Stealer 售賣犯罪工具也是很賺錢的���,許多犯罪分子都急于竊取用戶數(shù)據(jù)����。
