最近����,在地下論壇中出現(xiàn)了許多 macOS 的信息竊密程序����,例如 Pureland、MacStealer和Amos Atomic Stealer��。其中���,Atomic Stealer 提供了迄今為止最完整的功能���,例如竊取賬戶密碼、瀏覽器數(shù)據(jù)�、會話 Cookie 與加密貨幣錢包信息。在 Telegram 的宣傳中���,攻擊者可以以每月 1000 美元的價格租用 Web 控制面板來管理攻擊活動���。
不過攻擊者不止步于此,也一直在尋找各種方法通過不同版本的 Atomic Stealer 來攻擊 macOS 用戶��。近日,研究人員就發(fā)現(xiàn)了全新的 Atomic Stealer 變種��。
Atomic Stealer 分發(fā)
目前���,攻擊者通過特定的 Telegram 頻道來分發(fā) Amos Atomic MacOS Stealer�。4 月 9 日開通的頻道中��,開發(fā)者以每月 1000 美元的價格提供控制面板租用服務(wù)��,并且提供最新基于磁盤鏡像的安裝程序�。
(資料圖)
通過 Telegram 宣傳
Payload 的分配與租用的攻擊者有關(guān),因此其實(shí)現(xiàn)方式各不相同���。目前為止����,在野觀察到的情況有偽裝成 Tor 瀏覽器等合法應(yīng)用程序的安裝程序��,也有偽裝成常見軟件(Photoshop CC��、Notion ����、Microsoft Office 等)的破解版本����。
偽裝成合法應(yīng)用程序
通過 Google Ads 投放的惡意廣告也是分發(fā)的途徑之一:
部分分發(fā) URL
Atomic Stealer 頻道目前擁有超過 300 名訂閱者�����,有部分訂閱者表示十分滿意該惡意軟件��。
表達(dá)支持的消息
Atomic Stealer 變種 A
虛假應(yīng)用程序是使用 Appify 的一個分支開發(fā)的���,該腳本主要用于幫助制作 macOS 應(yīng)用程序。所有的 Atomic Stealer 目前都包含相同的���、Go 開發(fā)的可執(zhí)行文件��,大約為 51.5MB���。
二進(jìn)制文件分析
除了 Appify README 之外,Bundle 僅包含 Go 程序文件����、圖標(biāo)文件與 Info.plist。
應(yīng)用程序結(jié)構(gòu)
當(dāng)前分發(fā)的應(yīng)用程序包都是使用默認(rèn)的 Appify 包標(biāo)識符構(gòu)建的�,這可能是攻擊者為了逃避檢測故意的����。
變種 A 的行為
Atomic Stealer 并沒有進(jìn)行持久化�,這也是業(yè)界的一種趨勢。因?yàn)閺?macOS Ventura 開始�,蘋果增加了登錄項通知,攻擊者也開始轉(zhuǎn)向一次性竊密��。盡管 Atomic Stealer 通過 AppleScript 欺騙獲取用戶登錄密碼的方式十分粗糙��,但仍然十分有效�。
竊取用戶登錄密碼
攻擊者使用 osascript 創(chuàng)建對話框,并將 hidden answer 參數(shù)傳遞給 display dialog 命令�。這樣將創(chuàng)建一個類似身份驗(yàn)證的對話框,但用戶輸入的密碼明文會被攻擊者獲取�,而且系統(tǒng)日志中也會進(jìn)行記錄。
display dialog "MacOS wants to access System PreferencesYou entered invalid password.Please enter your password." with title "System Preferences" with icon file "System:Library:CoreServices:CoreTypes.bundle:Contents:Resources:ToolbarAdvanced.icns" default answer "" giving up after 30 with hidden answer ?
對話框彈出的消息中包含語法與句法錯誤��,這表明開發(fā)者的母語可能不是英語�����。如果點(diǎn)擊取消只會不斷循環(huán)彈出對話框����,點(diǎn)擊確定后會通過 /usr/bin/dscl -authonly 來校驗(yàn)是否輸入了有效密碼�����。通過 osascript 反復(fù)調(diào)用對話框��,很容易進(jìn)行檢測�����。
密碼校驗(yàn)
竊取完各種用戶憑據(jù)后���,Atomic Stealer 會向用戶彈出錯誤信息�。但從單詞拼寫錯誤以及錯誤消息不應(yīng)該包含取消按鈕來看,攻擊者對英語與 AppleScript 都并不熟悉���。
成功竊取用戶數(shù)據(jù)后拋出錯誤信息
攻擊者主要是以經(jīng)濟(jì)獲利為動機(jī)而進(jìn)行的網(wǎng)絡(luò)犯罪�����。
信息竊取函數(shù)
該惡意軟件包含竊取用戶鑰匙串與加密錢包密鑰的功能���,例如 Atomic、Binance、Electrum 和 Exodus 等�����。Atomic Stealer 在內(nèi)存中生成一個名為 unix1 的進(jìn)程來獲取鑰匙串����,并且針對 Chrome 和 Firefox 瀏覽器的擴(kuò)展進(jìn)行竊密。
Atomic Stealer 執(zhí)行鏈
Atomic Stealer 變種 B
根據(jù)某些樣本文件發(fā)現(xiàn)的 37.220.87.16�����,可以關(guān)聯(lián)到其他變種����。該變種文件在 VirusTotal 上的檢出率仍然為零,且偽裝成游戲安裝程序��。
新變種
該變種不再依賴應(yīng)用程序包進(jìn)行分發(fā)��,而是通過原始 Go 二進(jìn)制文件直接進(jìn)行分發(fā)���。以 Game Installer 為文件名的文件����,在 4 月 13 日被上傳到 VirusTotal。DMG 文件的圖標(biāo)中����,顯示了文本 Start Game。
程序圖標(biāo)
由于二進(jìn)制文件并未攜帶簽名�����,必須用戶介入才能執(zhí)行�����。
變種 B 的功能相比變種 A 更多��,主要集中在 Firefox 和 Chromium 瀏覽器上�����。變種 B 還新增了針對 Coinomi 錢包的竊密�。
變種 B 的主要函數(shù)
變體 A 和 B 都使用 /usr/bin/security 來查找 Chrome 密碼��。
security 2>&1 > /dev/null find-generic-password -ga "Chrome" | awk "{print $2}
查找 Chrome 密碼
根據(jù)變種 B 來看��,開發(fā)機(jī)的用戶名為 administrator�。這與變種 A 不同,變種 A 開發(fā)機(jī)的用戶名為 iluhaboltov。變種 B 中���,還發(fā)現(xiàn)了字符串 ATOMIC STEALER COOCKIE�。
硬編碼字符串
與 Telegram 頻道中提供的軟件包不同��,此版本的 Atomic Stealer 在竊取信息方面更具選擇性����,似乎專門針對游戲與加密貨幣用戶。
用戶 @Crypto-ALMV 于 4 月 29 日創(chuàng)建了一個相關(guān)的 Youtube 頻道�����,來宣傳針對加密貨幣錢包的產(chǎn)品功能�。但頻道、用戶與視頻都處于早期階段��,可能尚未正式啟用����。
Youtube 頻道信息
結(jié)論
隨著普及度越來越高,針對 macOS 用戶的攻擊越來越多�����。很多 macOS 的設(shè)備都缺乏良好的保護(hù),犯罪分子有很多機(jī)會可以進(jìn)行攻擊�����。而且 Atomic Stealer 售賣犯罪工具也是很賺錢的���,許多犯罪分子都急于竊取用戶數(shù)據(jù)�。
責(zé)任編輯:
免責(zé)聲明
