最近,在地下論壇中出現(xiàn)了許多 macOS 的信息竊密程序�,例如 Pureland、MacStealer和Amos Atomic Stealer�����。其中���,Atomic Stealer 提供了迄今為止最完整的功能����,例如竊取賬戶(hù)密碼�����、瀏覽器數(shù)據(jù)��、會(huì)話(huà) Cookie 與加密貨幣錢(qián)包信息����。在 Telegram 的宣傳中,攻擊者可以以每月 1000 美元的價(jià)格租用 Web 控制面板來(lái)管理攻擊活動(dòng)���。
不過(guò)攻擊者不止步于此�,也一直在尋找各種方法通過(guò)不同版本的 Atomic Stealer 來(lái)攻擊 macOS 用戶(hù)���。近日���,研究人員就發(fā)現(xiàn)了全新的 Atomic Stealer 變種。
Atomic Stealer 分發(fā)
目前�����,攻擊者通過(guò)特定的 Telegram 頻道來(lái)分發(fā) Amos Atomic MacOS Stealer�����。4 月 9 日開(kāi)通的頻道中�,開(kāi)發(fā)者以每月 1000 美元的價(jià)格提供控制面板租用服務(wù),并且提供最新基于磁盤(pán)鏡像的安裝程序�����。
【資料圖】
通過(guò) Telegram 宣傳
Payload 的分配與租用的攻擊者有關(guān)�,因此其實(shí)現(xiàn)方式各不相同。目前為止�,在野觀察到的情況有偽裝成 Tor 瀏覽器等合法應(yīng)用程序的安裝程序,也有偽裝成常見(jiàn)軟件(Photoshop CC���、Notion ��、Microsoft Office 等)的破解版本�����。
偽裝成合法應(yīng)用程序
通過(guò) Google Ads 投放的惡意廣告也是分發(fā)的途徑之一:
部分分發(fā) URL
Atomic Stealer 頻道目前擁有超過(guò) 300 名訂閱者����,有部分訂閱者表示十分滿(mǎn)意該惡意軟件。
表達(dá)支持的消息
Atomic Stealer 變種 A
虛假應(yīng)用程序是使用 Appify 的一個(gè)分支開(kāi)發(fā)的�����,該腳本主要用于幫助制作 macOS 應(yīng)用程序����。所有的 Atomic Stealer 目前都包含相同的、Go 開(kāi)發(fā)的可執(zhí)行文件�����,大約為 51.5MB��。
二進(jìn)制文件分析
除了 Appify README 之外�,Bundle 僅包含 Go 程序文件、圖標(biāo)文件與 Info.plist�。
應(yīng)用程序結(jié)構(gòu)
當(dāng)前分發(fā)的應(yīng)用程序包都是使用默認(rèn)的 Appify 包標(biāo)識(shí)符構(gòu)建的,這可能是攻擊者為了逃避檢測(cè)故意的�。
變種 A 的行為
Atomic Stealer 并沒(méi)有進(jìn)行持久化,這也是業(yè)界的一種趨勢(shì)����。因?yàn)閺?macOS Ventura 開(kāi)始����,蘋(píng)果增加了登錄項(xiàng)通知�����,攻擊者也開(kāi)始轉(zhuǎn)向一次性竊密�����。盡管 Atomic Stealer 通過(guò) AppleScript 欺騙獲取用戶(hù)登錄密碼的方式十分粗糙����,但仍然十分有效�����。
竊取用戶(hù)登錄密碼
攻擊者使用 osascript 創(chuàng)建對(duì)話(huà)框�����,并將 hidden answer 參數(shù)傳遞給 display dialog 命令����。這樣將創(chuàng)建一個(gè)類(lèi)似身份驗(yàn)證的對(duì)話(huà)框���,但用戶(hù)輸入的密碼明文會(huì)被攻擊者獲取,而且系統(tǒng)日志中也會(huì)進(jìn)行記錄���。
display dialog "MacOS wants to access System PreferencesYou entered invalid password.Please enter your password." with title "System Preferences" with icon file "System:Library:CoreServices:CoreTypes.bundle:Contents:Resources:ToolbarAdvanced.icns" default answer "" giving up after 30 with hidden answer ?
對(duì)話(huà)框彈出的消息中包含語(yǔ)法與句法錯(cuò)誤��,這表明開(kāi)發(fā)者的母語(yǔ)可能不是英語(yǔ)���。如果點(diǎn)擊取消只會(huì)不斷循環(huán)彈出對(duì)話(huà)框,點(diǎn)擊確定后會(huì)通過(guò) /usr/bin/dscl -authonly 來(lái)校驗(yàn)是否輸入了有效密碼�。通過(guò) osascript 反復(fù)調(diào)用對(duì)話(huà)框,很容易進(jìn)行檢測(cè)��。
密碼校驗(yàn)
竊取完各種用戶(hù)憑據(jù)后�����,Atomic Stealer 會(huì)向用戶(hù)彈出錯(cuò)誤信息�����。但從單詞拼寫(xiě)錯(cuò)誤以及錯(cuò)誤消息不應(yīng)該包含取消按鈕來(lái)看���,攻擊者對(duì)英語(yǔ)與 AppleScript 都并不熟悉�。
成功竊取用戶(hù)數(shù)據(jù)后拋出錯(cuò)誤信息
攻擊者主要是以經(jīng)濟(jì)獲利為動(dòng)機(jī)而進(jìn)行的網(wǎng)絡(luò)犯罪。
信息竊取函數(shù)
該惡意軟件包含竊取用戶(hù)鑰匙串與加密錢(qián)包密鑰的功能����,例如 Atomic、Binance���、Electrum 和 Exodus 等。Atomic Stealer 在內(nèi)存中生成一個(gè)名為 unix1 的進(jìn)程來(lái)獲取鑰匙串�,并且針對(duì) Chrome 和 Firefox 瀏覽器的擴(kuò)展進(jìn)行竊密。
Atomic Stealer 執(zhí)行鏈
Atomic Stealer 變種 B
根據(jù)某些樣本文件發(fā)現(xiàn)的 37.220.87.16����,可以關(guān)聯(lián)到其他變種。該變種文件在 VirusTotal 上的檢出率仍然為零�,且偽裝成游戲安裝程序。
新變種
該變種不再依賴(lài)應(yīng)用程序包進(jìn)行分發(fā)����,而是通過(guò)原始 Go 二進(jìn)制文件直接進(jìn)行分發(fā)。以 Game Installer 為文件名的文件��,在 4 月 13 日被上傳到 VirusTotal��。DMG 文件的圖標(biāo)中,顯示了文本 Start Game�����。
程序圖標(biāo)
由于二進(jìn)制文件并未攜帶簽名�,必須用戶(hù)介入才能執(zhí)行�。
變種 B 的功能相比變種 A 更多��,主要集中在 Firefox 和 Chromium 瀏覽器上����。變種 B 還新增了針對(duì) Coinomi 錢(qián)包的竊密���。
變種 B 的主要函數(shù)
變體 A 和 B 都使用 /usr/bin/security 來(lái)查找 Chrome 密碼�����。
security 2>&1 > /dev/null find-generic-password -ga "Chrome" | awk "{print $2}
查找 Chrome 密碼
根據(jù)變種 B 來(lái)看����,開(kāi)發(fā)機(jī)的用戶(hù)名為 administrator。這與變種 A 不同���,變種 A 開(kāi)發(fā)機(jī)的用戶(hù)名為 iluhaboltov���。變種 B 中,還發(fā)現(xiàn)了字符串 ATOMIC STEALER COOCKIE����。
硬編碼字符串
與 Telegram 頻道中提供的軟件包不同����,此版本的 Atomic Stealer 在竊取信息方面更具選擇性�����,似乎專(zhuān)門(mén)針對(duì)游戲與加密貨幣用戶(hù)。
用戶(hù) @Crypto-ALMV 于 4 月 29 日創(chuàng)建了一個(gè)相關(guān)的 Youtube 頻道���,來(lái)宣傳針對(duì)加密貨幣錢(qián)包的產(chǎn)品功能。但頻道�����、用戶(hù)與視頻都處于早期階段���,可能尚未正式啟用。
Youtube 頻道信息
結(jié)論
隨著普及度越來(lái)越高����,針對(duì) macOS 用戶(hù)的攻擊越來(lái)越多。很多 macOS 的設(shè)備都缺乏良好的保護(hù)��,犯罪分子有很多機(jī)會(huì)可以進(jìn)行攻擊��。而且 Atomic Stealer 售賣(mài)犯罪工具也是很賺錢(qián)的����,許多犯罪分子都急于竊取用戶(hù)數(shù)據(jù)����。
