Telegram 上出售新 macOS 恶意软件 Atomic Stealer

最近，上出售新在地下论坛中出现了许多 macOS 的意软信息窃密程序
，例如 Pureland  、上出售新MacStealer和Amos Atomic Stealer。意软其中，上出售新Atomic Stealer 提供了迄今为止最完整的意软功能，例如窃取账户密码  、上出售新浏览器数据、意软会话 Cookie 与加密货币钱包信息。上出售新在 Telegram 的意软宣传中 ，攻击者可以以每月 1000 美元的上出售新价格租用 Web 控制面板来管理攻击活动
 。

不过攻击者不止步于此 ，意软也一直在寻找各种方法通过不同版本的模板下载上出售新 Atomic Stealer 来攻击 macOS 用户
。近日 ，意软研究人员就发现了全新的上出售新 Atomic Stealer 变种。

Atomic Stealer 分发

目前，攻击者通过特定的 Telegram 频道来分发 Amos Atomic MacOS Stealer。4 月 9 日开通的频道中，开发者以每月 1000 美元的价格提供控制面板租用服务 ，并且提供最新基于磁盘镜像的安装程序。

通过 Telegram 宣传

Payload 的分配与租用的攻击者有关 ，源码库因此其实现方式各不相同。目前为止，在野观察到的情况有伪装成 Tor 浏览器等合法应用程序的安装程序 ，也有伪装成常见软件（Photoshop CC、Notion 、Microsoft Office 等）的破解版本 。

伪装成合法应用程序

通过 Google Ads 投放的恶意广告也是分发的途径之一 ：

部分分发 URL

Atomic Stealer 频道目前拥有超过 300 名订阅者 ，有部分订阅者表示十分满意该恶意软件
。

表达支持的消息

Atomic Stealer 变种 A

虚假应用程序是云计算使用 Appify 的一个分支开发的 ，该脚本主要用于帮助制作 macOS 应用程序
。所有的 Atomic Stealer 目前都包含相同的、Go 开发的可执行文件，大约为 51.5MB。

二进制文件分析

除了 Appify README 之外 
，Bundle 仅包含 Go 程序文件 、图标文件与 Info.plist
。

应用程序结构

当前分发的应用程序包都是使用默认的高防服务器 Appify 包标识符构建的，这可能是攻击者为了逃避检测故意的。

变种 A 的行为

Atomic Stealer 并没有进行持久化，这也是业界的一种趋势 。因为从 macOS Ventura 开始，苹果增加了登录项通知，攻击者也开始转向一次性窃密。尽管 Atomic Stealer 通过 AppleScript 欺骗获取用户登录密码的方式十分粗糙，但仍然十分有效。服务器租用

窃取用户登录密码

攻击者使用 osascript 创建对话框
，并将 hidden answer 参数传递给 display dialog 命令 。这样将创建一个类似身份验证的对话框，但用户输入的密码明文会被攻击者获取，而且系统日志中也会进行记录。

复制display dialog "MacOS wants to access System Preferences You entered invalid password. Please enter your password." with title "System Preferences" with icon file "System:Library:CoreServices:CoreTypes.bundle:Contents:Resources:ToolbarAdvanced.icns" default answer "" giving up after 30 with hidden answer ¬1.2.3.

对话框弹出的消息中包含语法与句法错误，这表明开发者的母语可能不是英语 。如果点击取消只会不断循环弹出对话框，点击确定后会通过 /usr/bin/dscl -authonly 来校验是否输入了有效密码。通过 osascript 反复调用对话框 ，建站模板很容易进行检测。

密码校验

窃取完各种用户凭据后，Atomic Stealer 会向用户弹出错误信息。但从单词拼写错误以及错误消息不应该包含取消按钮来看 ，攻击者对英语与 AppleScript 都并不熟悉。

成功窃取用户数据后抛出错误信息

攻击者主要是以经济获利为动机而进行的网络犯罪。

信息窃取函数

该恶意软件包含窃取用户钥匙串与加密钱包密钥的功能 ，例如 Atomic、Binance 、Electrum 和 Exodus 等 。Atomic Stealer 在内存中生成一个名为 unix1 的进程来获取钥匙串 ，并且针对 Chrome 和 Firefox 浏览器的扩展进行窃密 。

Atomic Stealer 执行链

Atomic Stealer 变种 B

根据某些样本文件发现的 37.220.87.16
，可以关联到其他变种 。该变种文件在 VirusTotal 上的检出率仍然为零 ，且伪装成游戏安装程序
。

新变种

该变种不再依赖应用程序包进行分发 ，而是通过原始 Go 二进制文件直接进行分发 。以 Game Installer 为文件名的文件，在 4 月 13 日被上传到 VirusTotal。DMG 文件的图标中 ，显示了文本 Start Game。

程序图标

由于二进制文件并未携带签名，必须用户介入才能执行  。

变种 B 的功能相比变种 A 更多 ，主要集中在 Firefox 和 Chromium 浏览器上 。变种 B 还新增了针对 Coinomi 钱包的窃密 。

变种 B 的主要函数

变体 A 和 B 都使用 /usr/bin/security 来查找 Chrome 密码 。

复制security 2>&1 > /dev/null find-generic-password -ga Chrome | awk { print $2}1.

查找 Chrome 密码

根据变种 B 来看，开发机的用户名为 administrator 
。这与变种 A 不同
，变种 A 开发机的用户名为 iluhaboltov。变种 B 中，还发现了字符串 ATOMIC STEALER COOCKIE。

硬编码字符串

与 Telegram 频道中提供的软件包不同，此版本的 Atomic Stealer 在窃取信息方面更具选择性，似乎专门针对游戏与加密货币用户。

用户 @Crypto-ALMV 于 4 月 29 日创建了一个相关的 Youtube 频道，来宣传针对加密货币钱包的产品功能 。但频道、用户与视频都处于早期阶段 ，可能尚未正式启用。

Youtube 频道信息

结论

随着普及度越来越高 ，针对 macOS 用户的攻击越来越多。很多 macOS 的设备都缺乏良好的保护，犯罪分子有很多机会可以进行攻击 。而且 Atomic Stealer 售卖犯罪工具也是很赚钱的，许多犯罪分子都急于窃取用户数据 。