Telegram 上出售新 macOS 恶意软件 Atomic Stealer

最近 ，上出售新在地下论坛中出现了许多 macOS 的意软信息窃密程序 ，例如 Pureland、上出售新MacStealer和Amos Atomic Stealer。意软其中，上出售新Atomic Stealer 提供了迄今为止最完整的意软功能  ，例如窃取账户密码 、上出售新浏览器数据 、意软会话 Cookie 与加密货币钱包信息。上出售新在 Telegram 的意软宣传中，攻击者可以以每月 1000 美元的上出售新价格租用 Web 控制面板来管理攻击活动。

不过攻击者不止步于此 ，意软也一直在寻找各种方法通过不同版本的建站模板上出售新 Atomic Stealer 来攻击 macOS 用户
。近日，意软研究人员就发现了全新的上出售新 Atomic Stealer 变种  。

Atomic Stealer 分发

目前 ，攻击者通过特定的 Telegram 频道来分发 Amos Atomic MacOS Stealer。4 月 9 日开通的频道中，开发者以每月 1000 美元的价格提供控制面板租用服务，并且提供最新基于磁盘镜像的安装程序
。

通过 Telegram 宣传

Payload 的分配与租用的攻击者有关，模板下载因此其实现方式各不相同。目前为止，在野观察到的情况有伪装成 Tor 浏览器等合法应用程序的安装程序，也有伪装成常见软件（Photoshop CC、Notion 、Microsoft Office 等）的破解版本 。

伪装成合法应用程序

通过 Google Ads 投放的恶意广告也是分发的途径之一 ：

部分分发 URL

Atomic Stealer 频道目前拥有超过 300 名订阅者 ，有部分订阅者表示十分满意该恶意软件。

表达支持的消息

Atomic Stealer 变种 A

虚假应用程序是源码库使用 Appify 的一个分支开发的  ，该脚本主要用于帮助制作 macOS 应用程序。所有的 Atomic Stealer 目前都包含相同的、Go 开发的可执行文件，大约为 51.5MB。

二进制文件分析

除了 Appify README 之外，Bundle 仅包含 Go 程序文件、图标文件与 Info.plist。

应用程序结构

当前分发的应用程序包都是使用默认的高防服务器 Appify 包标识符构建的，这可能是攻击者为了逃避检测故意的。

变种 A 的行为

Atomic Stealer 并没有进行持久化，这也是业界的一种趋势 。因为从 macOS Ventura 开始，苹果增加了登录项通知，攻击者也开始转向一次性窃密 。尽管 Atomic Stealer 通过 AppleScript 欺骗获取用户登录密码的方式十分粗糙 ，但仍然十分有效。服务器租用

窃取用户登录密码

攻击者使用 osascript 创建对话框，并将 hidden answer 参数传递给 display dialog 命令。这样将创建一个类似身份验证的对话框 ，但用户输入的密码明文会被攻击者获取 ，而且系统日志中也会进行记录 。

复制display dialog "MacOS wants to access System Preferences You entered invalid password. Please enter your password." with title "System Preferences" with icon file "System:Library:CoreServices:CoreTypes.bundle:Contents:Resources:ToolbarAdvanced.icns" default answer "" giving up after 30 with hidden answer ¬1.2.3.

对话框弹出的消息中包含语法与句法错误，这表明开发者的母语可能不是英语。如果点击取消只会不断循环弹出对话框，点击确定后会通过 /usr/bin/dscl -authonly 来校验是否输入了有效密码。通过 osascript 反复调用对话框
，云计算很容易进行检测  。

密码校验

窃取完各种用户凭据后，Atomic Stealer 会向用户弹出错误信息 。但从单词拼写错误以及错误消息不应该包含取消按钮来看 ，攻击者对英语与 AppleScript 都并不熟悉。

成功窃取用户数据后抛出错误信息

攻击者主要是以经济获利为动机而进行的网络犯罪。

信息窃取函数

该恶意软件包含窃取用户钥匙串与加密钱包密钥的功能  ，例如 Atomic、Binance 、Electrum 和 Exodus 等。Atomic Stealer 在内存中生成一个名为 unix1 的进程来获取钥匙串，并且针对 Chrome 和 Firefox 浏览器的扩展进行窃密  。

Atomic Stealer 执行链

Atomic Stealer 变种 B

根据某些样本文件发现的 37.220.87.16，可以关联到其他变种 。该变种文件在 VirusTotal 上的检出率仍然为零，且伪装成游戏安装程序
。

新变种

该变种不再依赖应用程序包进行分发，而是通过原始 Go 二进制文件直接进行分发 。以 Game Installer 为文件名的文件  ，在 4 月 13 日被上传到 VirusTotal。DMG 文件的图标中，显示了文本 Start Game。

程序图标

由于二进制文件并未携带签名 ，必须用户介入才能执行 。

变种 B 的功能相比变种 A 更多，主要集中在 Firefox 和 Chromium 浏览器上。变种 B 还新增了针对 Coinomi 钱包的窃密 
。

变种 B 的主要函数

变体 A 和 B 都使用 /usr/bin/security 来查找 Chrome 密码 。

复制security 2>&1 > /dev/null find-generic-password -ga Chrome | awk { print $2}1.

查找 Chrome 密码

根据变种 B 来看，开发机的用户名为 administrator。这与变种 A 不同，变种 A 开发机的用户名为 iluhaboltov。变种 B 中 ，还发现了字符串 ATOMIC STEALER COOCKIE 。

硬编码字符串

与 Telegram 频道中提供的软件包不同 ，此版本的 Atomic Stealer 在窃取信息方面更具选择性
，似乎专门针对游戏与加密货币用户。

用户 @Crypto-ALMV 于 4 月 29 日创建了一个相关的 Youtube 频道，来宣传针对加密货币钱包的产品功能。但频道、用户与视频都处于早期阶段 ，可能尚未正式启用。

Youtube 频道信息

结论

随着普及度越来越高
 ，针对 macOS 用户的攻击越来越多 。很多 macOS 的设备都缺乏良好的保护 ，犯罪分子有很多机会可以进行攻击。而且 Atomic Stealer 售卖犯罪工具也是很赚钱的，许多犯罪分子都急于窃取用户数据 。