最近��,在地下論壇中出現(xiàn)了許多 macOS 的信息竊密程序�����,例如 Pureland�����、MacStealer和Amos Atomic Stealer����。其中,Atomic Stealer 提供了迄今為止最完整的功能�����,例如竊取賬戶密碼��、瀏覽器數(shù)據(jù)��、會(huì)話 Cookie 與加密貨幣錢包信息�����。在 Telegram 的宣傳中����,攻擊者可以以每月 1000 美元的價(jià)格租用 Web 控制面板來管理攻擊活動(dòng)。
不過攻擊者不止步于此���,也一直在尋找各種方法通過不同版本的 Atomic Stealer 來攻擊 macOS 用戶���。近日��,研究人員就發(fā)現(xiàn)了全新的 Atomic Stealer 變種�����。
Atomic Stealer 分發(fā)
目前���,攻擊者通過特定的 Telegram 頻道來分發(fā) Amos Atomic MacOS Stealer。4 月 9 日開通的頻道中��,開發(fā)者以每月 1000 美元的價(jià)格提供控制面板租用服務(wù)�,并且提供最新基于磁盤鏡像的安裝程序。
【資料圖】
通過 Telegram 宣傳
Payload 的分配與租用的攻擊者有關(guān)��,因此其實(shí)現(xiàn)方式各不相同�。目前為止��,在野觀察到的情況有偽裝成 Tor 瀏覽器等合法應(yīng)用程序的安裝程序���,也有偽裝成常見軟件(Photoshop CC�、Notion 、Microsoft Office 等)的破解版本���。
偽裝成合法應(yīng)用程序
通過 Google Ads 投放的惡意廣告也是分發(fā)的途徑之一:
部分分發(fā) URL
Atomic Stealer 頻道目前擁有超過 300 名訂閱者�,有部分訂閱者表示十分滿意該惡意軟件�����。
表達(dá)支持的消息
Atomic Stealer 變種 A
虛假應(yīng)用程序是使用 Appify 的一個(gè)分支開發(fā)的�����,該腳本主要用于幫助制作 macOS 應(yīng)用程序�。所有的 Atomic Stealer 目前都包含相同的、Go 開發(fā)的可執(zhí)行文件��,大約為 51.5MB���。
二進(jìn)制文件分析
除了 Appify README 之外���,Bundle 僅包含 Go 程序文件、圖標(biāo)文件與 Info.plist����。
應(yīng)用程序結(jié)構(gòu)
當(dāng)前分發(fā)的應(yīng)用程序包都是使用默認(rèn)的 Appify 包標(biāo)識(shí)符構(gòu)建的�,這可能是攻擊者為了逃避檢測(cè)故意的�。
變種 A 的行為
Atomic Stealer 并沒有進(jìn)行持久化,這也是業(yè)界的一種趨勢(shì)�����。因?yàn)閺?macOS Ventura 開始�,蘋果增加了登錄項(xiàng)通知,攻擊者也開始轉(zhuǎn)向一次性竊密�。盡管 Atomic Stealer 通過 AppleScript 欺騙獲取用戶登錄密碼的方式十分粗糙,但仍然十分有效����。
竊取用戶登錄密碼
攻擊者使用 osascript 創(chuàng)建對(duì)話框,并將 hidden answer 參數(shù)傳遞給 display dialog 命令��。這樣將創(chuàng)建一個(gè)類似身份驗(yàn)證的對(duì)話框�����,但用戶輸入的密碼明文會(huì)被攻擊者獲取���,而且系統(tǒng)日志中也會(huì)進(jìn)行記錄。
display dialog "MacOS wants to access System PreferencesYou entered invalid password.Please enter your password." with title "System Preferences" with icon file "System:Library:CoreServices:CoreTypes.bundle:Contents:Resources:ToolbarAdvanced.icns" default answer "" giving up after 30 with hidden answer ?
對(duì)話框彈出的消息中包含語法與句法錯(cuò)誤�,這表明開發(fā)者的母語可能不是英語��。如果點(diǎn)擊取消只會(huì)不斷循環(huán)彈出對(duì)話框���,點(diǎn)擊確定后會(huì)通過 /usr/bin/dscl -authonly 來校驗(yàn)是否輸入了有效密碼。通過 osascript 反復(fù)調(diào)用對(duì)話框����,很容易進(jìn)行檢測(cè)。
密碼校驗(yàn)
竊取完各種用戶憑據(jù)后�,Atomic Stealer 會(huì)向用戶彈出錯(cuò)誤信息。但從單詞拼寫錯(cuò)誤以及錯(cuò)誤消息不應(yīng)該包含取消按鈕來看��,攻擊者對(duì)英語與 AppleScript 都并不熟悉����。
成功竊取用戶數(shù)據(jù)后拋出錯(cuò)誤信息
攻擊者主要是以經(jīng)濟(jì)獲利為動(dòng)機(jī)而進(jìn)行的網(wǎng)絡(luò)犯罪。
信息竊取函數(shù)
該惡意軟件包含竊取用戶鑰匙串與加密錢包密鑰的功能���,例如 Atomic���、Binance、Electrum 和 Exodus 等�。Atomic Stealer 在內(nèi)存中生成一個(gè)名為 unix1 的進(jìn)程來獲取鑰匙串,并且針對(duì) Chrome 和 Firefox 瀏覽器的擴(kuò)展進(jìn)行竊密��。
Atomic Stealer 執(zhí)行鏈
Atomic Stealer 變種 B
根據(jù)某些樣本文件發(fā)現(xiàn)的 37.220.87.16,可以關(guān)聯(lián)到其他變種�。該變種文件在 VirusTotal 上的檢出率仍然為零,且偽裝成游戲安裝程序���。
新變種
該變種不再依賴應(yīng)用程序包進(jìn)行分發(fā)����,而是通過原始 Go 二進(jìn)制文件直接進(jìn)行分發(fā)�����。以 Game Installer 為文件名的文件��,在 4 月 13 日被上傳到 VirusTotal��。DMG 文件的圖標(biāo)中�,顯示了文本 Start Game。
程序圖標(biāo)
由于二進(jìn)制文件并未攜帶簽名�����,必須用戶介入才能執(zhí)行���。
變種 B 的功能相比變種 A 更多��,主要集中在 Firefox 和 Chromium 瀏覽器上��。變種 B 還新增了針對(duì) Coinomi 錢包的竊密��。
變種 B 的主要函數(shù)
變體 A 和 B 都使用 /usr/bin/security 來查找 Chrome 密碼��。
security 2>&1 > /dev/null find-generic-password -ga "Chrome" | awk "{print $2}
查找 Chrome 密碼
根據(jù)變種 B 來看��,開發(fā)機(jī)的用戶名為 administrator�����。這與變種 A 不同��,變種 A 開發(fā)機(jī)的用戶名為 iluhaboltov�。變種 B 中��,還發(fā)現(xiàn)了字符串 ATOMIC STEALER COOCKIE��。
硬編碼字符串
與 Telegram 頻道中提供的軟件包不同����,此版本的 Atomic Stealer 在竊取信息方面更具選擇性,似乎專門針對(duì)游戲與加密貨幣用戶����。
用戶 @Crypto-ALMV 于 4 月 29 日創(chuàng)建了一個(gè)相關(guān)的 Youtube 頻道����,來宣傳針對(duì)加密貨幣錢包的產(chǎn)品功能�����。但頻道���、用戶與視頻都處于早期階段�����,可能尚未正式啟用��。
Youtube 頻道信息
結(jié)論
隨著普及度越來越高���,針對(duì) macOS 用戶的攻擊越來越多。很多 macOS 的設(shè)備都缺乏良好的保護(hù)�,犯罪分子有很多機(jī)會(huì)可以進(jìn)行攻擊。而且 Atomic Stealer 售賣犯罪工具也是很賺錢的����,許多犯罪分子都急于竊取用戶數(shù)據(jù)��。
