最近，在地下论坛中出现了许多 macOS 的信息窃密程序，例如 Pureland、MacStealer和Amos Atomic Stealer。其中，Atomic Stealer 提供了迄今为止最完整的功能，例如窃取账户密码、浏览器数据、会话 Cookie 与加密货币钱包信息。在 Telegram 的宣传中，攻击者可以以每月 1000 美元的价格租用 Web 控制面板来管理攻击活动。

在定边等地区，都构建了全面的区域性战略布局，加强发展的系统性、市场前瞻性、产品创新能力，以专注、极致的服务理念，为客户提供成都网站建设、成都做网站 网站设计制作定制网站开发,公司网站建设,企业网站建设,成都品牌网站建设,成都全网营销推广,外贸营销网站建设,定边网站建设费用合理。

不过攻击者不止步于此，也一直在寻找各种方法通过不同版本的 Atomic Stealer 来攻击 macOS 用户。近日，研究人员就发现了全新的 Atomic Stealer 变种。

Atomic Stealer 分发

目前，攻击者通过特定的 Telegram 频道来分发 Amos Atomic MacOS Stealer。4 月 9 日开通的频道中，开发者以每月 1000 美元的价格提供控制面板租用服务，并且提供最新基于磁盘镜像的安装程序。

通过 Telegram 宣传

Payload 的分配与租用的攻击者有关，因此其实现方式各不相同。目前为止，在野观察到的情况有伪装成 Tor 浏览器等合法应用程序的安装程序，也有伪装成常见软件（Photoshop CC、Notion 、Microsoft Office 等）的破解版本。

伪装成合法应用程序

通过 Google Ads 投放的恶意广告也是分发的途径之一：

部分分发 URL

Atomic Stealer 频道目前拥有超过 300 名订阅者，有部分订阅者表示十分满意该恶意软件。

表达支持的消息

Atomic Stealer 变种 A

虚假应用程序是使用 Appify 的一个分支开发的，该脚本主要用于帮助制作 macOS 应用程序。所有的 Atomic Stealer 目前都包含相同的、Go 开发的可执行文件，大约为 51.5MB。

二进制文件分析

除了 Appify README 之外，Bundle 仅包含 Go 程序文件、图标文件与 Info.plist。

应用程序结构

当前分发的应用程序包都是使用默认的 Appify 包标识符构建的，这可能是攻击者为了逃避检测故意的。

变种 A 的行为

Atomic Stealer 并没有进行持久化，这也是业界的一种趋势。因为从 macOS Ventura 开始，苹果增加了登录项通知，攻击者也开始转向一次性窃密。尽管 Atomic Stealer 通过 AppleScript 欺骗获取用户登录密码的方式十分粗糙，但仍然十分有效。

窃取用户登录密码

攻击者使用 osascript 创建对话框，并将 hidden answer 参数传递给 display dialog 命令。这样将创建一个类似身份验证的对话框，但用户输入的密码明文会被攻击者获取，而且系统日志中也会进行记录。

display dialog "MacOS wants to access System Preferences
You entered invalid password.
Please enter your password." with title "System Preferences" with icon file "System:Library:CoreServices:CoreTypes.bundle:Contents:Resources:ToolbarAdvanced.icns" default answer "" giving up after 30 with hidden answer ¬

对话框弹出的消息中包含语法与句法错误，这表明开发者的母语可能不是英语。如果点击取消只会不断循环弹出对话框，点击确定后会通过 /usr/bin/dscl -authonly 来校验是否输入了有效密码。通过 osascript 反复调用对话框，很容易进行检测。

密码校验

窃取完各种用户凭据后，Atomic Stealer 会向用户弹出错误信息。但从单词拼写错误以及错误消息不应该包含取消按钮来看，攻击者对英语与 AppleScript 都并不熟悉。

成功窃取用户数据后抛出错误信息

攻击者主要是以经济获利为动机而进行的网络犯罪。

信息窃取函数

该恶意软件包含窃取用户钥匙串与加密钱包密钥的功能，例如 Atomic、Binance、Electrum 和 Exodus 等。Atomic Stealer 在内存中生成一个名为 unix1 的进程来获取钥匙串，并且针对 Chrome 和 Firefox 浏览器的扩展进行窃密。

Atomic Stealer 执行链

Atomic Stealer 变种 B

根据某些样本文件发现的 37.220.87.16，可以关联到其他变种。该变种文件在 VirusTotal 上的检出率仍然为零，且伪装成游戏安装程序。

新变种

该变种不再依赖应用程序包进行分发，而是通过原始 Go 二进制文件直接进行分发。以 Game Installer 为文件名的文件，在 4 月 13 日被上传到 VirusTotal。DMG 文件的图标中，显示了文本 Start Game。

程序图标

由于二进制文件并未携带签名，必须用户介入才能执行。

变种 B 的功能相比变种 A 更多，主要集中在 Firefox 和 Chromium 浏览器上。变种 B 还新增了针对 Coinomi 钱包的窃密。

变种 B 的主要函数

变体 A 和 B 都使用 /usr/bin/security 来查找 Chrome 密码。

security 2>&1 > /dev/null find-generic-password -ga 'Chrome' | awk '{print $2}

查找 Chrome 密码

根据变种 B 来看，开发机的用户名为 administrator。这与变种 A 不同，变种 A 开发机的用户名为 iluhaboltov。变种 B 中，还发现了字符串 ATOMIC STEALER COOCKIE。

硬编码字符串

与 Telegram 频道中提供的软件包不同，此版本的 Atomic Stealer 在窃取信息方面更具选择性，似乎专门针对游戏与加密货币用户。

用户 @Crypto-ALMV 于 4 月 29 日创建了一个相关的 Youtube 频道，来宣传针对加密货币钱包的产品功能。但频道、用户与视频都处于早期阶段，可能尚未正式启用。

Youtube 频道信息

结论

随着普及度越来越高，针对 macOS 用户的攻击越来越多。很多 macOS 的设备都缺乏良好的保护，犯罪分子有很多机会可以进行攻击。而且 Atomic Stealer 售卖犯罪工具也是很赚钱的，许多犯罪分子都急于窃取用户数据。

当前标题：Telegram上出售新macOS恶意软件AtomicStealer
文章起源：http://www.jxjierui.cn/article/dpphoeg.html