日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

最近，在地下論壇中出現(xiàn)了許多 macOS 的信息竊密程序，例如 Pureland、MacStealer和Amos Atomic Stealer。其中，Atomic Stealer 提供了迄今為止最完整的功能，例如竊取賬戶密碼、瀏覽器數(shù)據(jù)、會話 Cookie 與加密貨幣錢包信息。在 Telegram 的宣傳中，攻擊者可以以每月 1000 美元的價格租用 Web 控制面板來管理攻擊活動。

在定邊等地區(qū)，都構建了全面的區(qū)域性戰(zhàn)略布局，加強發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務理念，為客戶提供成都網(wǎng)站建設、成都做網(wǎng)站 網(wǎng)站設計制作定制網(wǎng)站開發(fā),公司網(wǎng)站建設,企業(yè)網(wǎng)站建設,成都品牌網(wǎng)站建設,成都全網(wǎng)營銷推廣,外貿(mào)營銷網(wǎng)站建設,定邊網(wǎng)站建設費用合理。

不過攻擊者不止步于此，也一直在尋找各種方法通過不同版本的 Atomic Stealer 來攻擊 macOS 用戶。近日，研究人員就發(fā)現(xiàn)了全新的 Atomic Stealer 變種。

Atomic Stealer 分發(fā)

目前，攻擊者通過特定的 Telegram 頻道來分發(fā) Amos Atomic MacOS Stealer。4 月 9 日開通的頻道中，開發(fā)者以每月 1000 美元的價格提供控制面板租用服務，并且提供最新基于磁盤鏡像的安裝程序。

通過 Telegram 宣傳

Payload 的分配與租用的攻擊者有關，因此其實現(xiàn)方式各不相同。目前為止，在野觀察到的情況有偽裝成 Tor 瀏覽器等合法應用程序的安裝程序，也有偽裝成常見軟件（Photoshop CC、Notion 、Microsoft Office 等）的破解版本。

偽裝成合法應用程序

通過 Google Ads 投放的惡意廣告也是分發(fā)的途徑之一：

部分分發(fā) URL

Atomic Stealer 頻道目前擁有超過 300 名訂閱者，有部分訂閱者表示十分滿意該惡意軟件。

表達支持的消息

Atomic Stealer 變種 A

虛假應用程序是使用 Appify 的一個分支開發(fā)的，該腳本主要用于幫助制作 macOS 應用程序。所有的 Atomic Stealer 目前都包含相同的、Go 開發(fā)的可執(zhí)行文件，大約為 51.5MB。

二進制文件分析

除了 Appify README 之外，Bundle 僅包含 Go 程序文件、圖標文件與 Info.plist。

應用程序結構

當前分發(fā)的應用程序包都是使用默認的 Appify 包標識符構建的，這可能是攻擊者為了逃避檢測故意的。

變種 A 的行為

Atomic Stealer 并沒有進行持久化，這也是業(yè)界的一種趨勢。因為從 macOS Ventura 開始，蘋果增加了登錄項通知，攻擊者也開始轉(zhuǎn)向一次性竊密。盡管 Atomic Stealer 通過 AppleScript 欺騙獲取用戶登錄密碼的方式十分粗糙，但仍然十分有效。

竊取用戶登錄密碼

攻擊者使用 osascript 創(chuàng)建對話框，并將 hidden answer 參數(shù)傳遞給 display dialog 命令。這樣將創(chuàng)建一個類似身份驗證的對話框，但用戶輸入的密碼明文會被攻擊者獲取，而且系統(tǒng)日志中也會進行記錄。

display dialog "MacOS wants to access System Preferences
You entered invalid password.
Please enter your password." with title "System Preferences" with icon file "System:Library:CoreServices:CoreTypes.bundle:Contents:Resources:ToolbarAdvanced.icns" default answer "" giving up after 30 with hidden answer ?

對話框彈出的消息中包含語法與句法錯誤，這表明開發(fā)者的母語可能不是英語。如果點擊取消只會不斷循環(huán)彈出對話框，點擊確定后會通過 /usr/bin/dscl -authonly 來校驗是否輸入了有效密碼。通過 osascript 反復調(diào)用對話框，很容易進行檢測。

密碼校驗

竊取完各種用戶憑據(jù)后，Atomic Stealer 會向用戶彈出錯誤信息。但從單詞拼寫錯誤以及錯誤消息不應該包含取消按鈕來看，攻擊者對英語與 AppleScript 都并不熟悉。

成功竊取用戶數(shù)據(jù)后拋出錯誤信息

攻擊者主要是以經(jīng)濟獲利為動機而進行的網(wǎng)絡犯罪。

信息竊取函數(shù)

該惡意軟件包含竊取用戶鑰匙串與加密錢包密鑰的功能，例如 Atomic、Binance、Electrum 和 Exodus 等。Atomic Stealer 在內(nèi)存中生成一個名為 unix1 的進程來獲取鑰匙串，并且針對 Chrome 和 Firefox 瀏覽器的擴展進行竊密。

Atomic Stealer 執(zhí)行鏈

Atomic Stealer 變種 B

根據(jù)某些樣本文件發(fā)現(xiàn)的 37.220.87.16，可以關聯(lián)到其他變種。該變種文件在 VirusTotal 上的檢出率仍然為零，且偽裝成游戲安裝程序。

新變種

該變種不再依賴應用程序包進行分發(fā)，而是通過原始 Go 二進制文件直接進行分發(fā)。以 Game Installer 為文件名的文件，在 4 月 13 日被上傳到 VirusTotal。DMG 文件的圖標中，顯示了文本 Start Game。

程序圖標

由于二進制文件并未攜帶簽名，必須用戶介入才能執(zhí)行。

變種 B 的功能相比變種 A 更多，主要集中在 Firefox 和 Chromium 瀏覽器上。變種 B 還新增了針對 Coinomi 錢包的竊密。

變種 B 的主要函數(shù)

變體 A 和 B 都使用 /usr/bin/security 來查找 Chrome 密碼。

security 2>&1 > /dev/null find-generic-password -ga 'Chrome' | awk '{print $2}

查找 Chrome 密碼

根據(jù)變種 B 來看，開發(fā)機的用戶名為 administrator。這與變種 A 不同，變種 A 開發(fā)機的用戶名為 iluhaboltov。變種 B 中，還發(fā)現(xiàn)了字符串 ATOMIC STEALER COOCKIE。

硬編碼字符串

與 Telegram 頻道中提供的軟件包不同，此版本的 Atomic Stealer 在竊取信息方面更具選擇性，似乎專門針對游戲與加密貨幣用戶。

用戶 @Crypto-ALMV 于 4 月 29 日創(chuàng)建了一個相關的 Youtube 頻道，來宣傳針對加密貨幣錢包的產(chǎn)品功能。但頻道、用戶與視頻都處于早期階段，可能尚未正式啟用。

Youtube 頻道信息

結論

隨著普及度越來越高，針對 macOS 用戶的攻擊越來越多。很多 macOS 的設備都缺乏良好的保護，犯罪分子有很多機會可以進行攻擊。而且 Atomic Stealer 售賣犯罪工具也是很賺錢的，許多犯罪分子都急于竊取用戶數(shù)據(jù)。

網(wǎng)站名稱：Telegram上出售新macOS惡意軟件AtomicStealer
鏈接URL：http://www.dlmjj.cn/article/dpphoeg.html