最近,在地下論壇中出現(xiàn)了許多 macOS 的信息竊密程序,例如 Pureland、MacStealer和Amos Atomic Stealer。其中,Atomic Stealer 提供了迄今為止最完整的功能,例如竊取賬戶密碼、瀏覽器數(shù)據(jù)、會(huì)話 Cookie 與加密貨幣錢包信息。在 Telegram 的宣傳中,攻擊者可以以每月 1000 美元的價(jià)格租用 Web 控制面板來管理攻擊活動(dòng)。
不過攻擊者不止步于此,也一直在尋找各種方法通過不同版本的 Atomic Stealer 來攻擊 macOS 用戶。近日,研究人員就發(fā)現(xiàn)了全新的 Atomic Stealer 變種。
Atomic Stealer 分發(fā)目前,攻擊者通過特定的 Telegram 頻道來分發(fā) Amos Atomic MacOS Stealer。4 月 9 日開通的頻道中,開發(fā)者以每月 1000 美元的價(jià)格提供控制面板租用服務(wù),并且提供最新基于磁盤鏡像的安裝程序。
【資料圖】
通過 Telegram 宣傳
Payload 的分配與租用的攻擊者有關(guān),因此其實(shí)現(xiàn)方式各不相同。目前為止,在野觀察到的情況有偽裝成 Tor 瀏覽器等合法應(yīng)用程序的安裝程序,也有偽裝成常見軟件(Photoshop CC、Notion 、Microsoft Office 等)的破解版本。
偽裝成合法應(yīng)用程序
通過 Google Ads 投放的惡意廣告也是分發(fā)的途徑之一:
部分分發(fā) URL
Atomic Stealer 頻道目前擁有超過 300 名訂閱者,有部分訂閱者表示十分滿意該惡意軟件。
表達(dá)支持的消息
Atomic Stealer 變種 A虛假應(yīng)用程序是使用 Appify 的一個(gè)分支開發(fā)的,該腳本主要用于幫助制作 macOS 應(yīng)用程序。所有的 Atomic Stealer 目前都包含相同的、Go 開發(fā)的可執(zhí)行文件,大約為 51.5MB。
二進(jìn)制文件分析
除了 Appify README 之外,Bundle 僅包含 Go 程序文件、圖標(biāo)文件與 Info.plist。
應(yīng)用程序結(jié)構(gòu)
當(dāng)前分發(fā)的應(yīng)用程序包都是使用默認(rèn)的 Appify 包標(biāo)識(shí)符構(gòu)建的,這可能是攻擊者為了逃避檢測(cè)故意的。
變種 A 的行為Atomic Stealer 并沒有進(jìn)行持久化,這也是業(yè)界的一種趨勢(shì)。因?yàn)閺?macOS Ventura 開始,蘋果增加了登錄項(xiàng)通知,攻擊者也開始轉(zhuǎn)向一次性竊密。盡管 Atomic Stealer 通過 AppleScript 欺騙獲取用戶登錄密碼的方式十分粗糙,但仍然十分有效。
竊取用戶登錄密碼
攻擊者使用 osascript 創(chuàng)建對(duì)話框,并將 hidden answer 參數(shù)傳遞給 display dialog 命令。這樣將創(chuàng)建一個(gè)類似身份驗(yàn)證的對(duì)話框,但用戶輸入的密碼明文會(huì)被攻擊者獲取,而且系統(tǒng)日志中也會(huì)進(jìn)行記錄。
display dialog "MacOS wants to access System PreferencesYou entered invalid password.Please enter your password." with title "System Preferences" with icon file "System:Library:CoreServices:CoreTypes.bundle:Contents:Resources:ToolbarAdvanced.icns" default answer "" giving up after 30 with hidden answer ?
對(duì)話框彈出的消息中包含語法與句法錯(cuò)誤,這表明開發(fā)者的母語可能不是英語。如果點(diǎn)擊取消只會(huì)不斷循環(huán)彈出對(duì)話框,點(diǎn)擊確定后會(huì)通過 /usr/bin/dscl -authonly 來校驗(yàn)是否輸入了有效密碼。通過 osascript 反復(fù)調(diào)用對(duì)話框,很容易進(jìn)行檢測(cè)。
密碼校驗(yàn)
竊取完各種用戶憑據(jù)后,Atomic Stealer 會(huì)向用戶彈出錯(cuò)誤信息。但從單詞拼寫錯(cuò)誤以及錯(cuò)誤消息不應(yīng)該包含取消按鈕來看,攻擊者對(duì)英語與 AppleScript 都并不熟悉。
成功竊取用戶數(shù)據(jù)后拋出錯(cuò)誤信息
攻擊者主要是以經(jīng)濟(jì)獲利為動(dòng)機(jī)而進(jìn)行的網(wǎng)絡(luò)犯罪。
信息竊取函數(shù)
該惡意軟件包含竊取用戶鑰匙串與加密錢包密鑰的功能,例如 Atomic、Binance、Electrum 和 Exodus 等。Atomic Stealer 在內(nèi)存中生成一個(gè)名為 unix1 的進(jìn)程來獲取鑰匙串,并且針對(duì) Chrome 和 Firefox 瀏覽器的擴(kuò)展進(jìn)行竊密。
Atomic Stealer 執(zhí)行鏈
Atomic Stealer 變種 B根據(jù)某些樣本文件發(fā)現(xiàn)的 37.220.87.16,可以關(guān)聯(lián)到其他變種。該變種文件在 VirusTotal 上的檢出率仍然為零,且偽裝成游戲安裝程序。
新變種
該變種不再依賴應(yīng)用程序包進(jìn)行分發(fā),而是通過原始 Go 二進(jìn)制文件直接進(jìn)行分發(fā)。以 Game Installer 為文件名的文件,在 4 月 13 日被上傳到 VirusTotal。DMG 文件的圖標(biāo)中,顯示了文本 Start Game。
程序圖標(biāo)
由于二進(jìn)制文件并未攜帶簽名,必須用戶介入才能執(zhí)行。
變種 B 的功能相比變種 A 更多,主要集中在 Firefox 和 Chromium 瀏覽器上。變種 B 還新增了針對(duì) Coinomi 錢包的竊密。
變種 B 的主要函數(shù)
變體 A 和 B 都使用 /usr/bin/security 來查找 Chrome 密碼。
security 2>&1 > /dev/null find-generic-password -ga "Chrome" | awk "{print $2}
查找 Chrome 密碼
根據(jù)變種 B 來看,開發(fā)機(jī)的用戶名為 administrator。這與變種 A 不同,變種 A 開發(fā)機(jī)的用戶名為 iluhaboltov。變種 B 中,還發(fā)現(xiàn)了字符串 ATOMIC STEALER COOCKIE。
硬編碼字符串
與 Telegram 頻道中提供的軟件包不同,此版本的 Atomic Stealer 在竊取信息方面更具選擇性,似乎專門針對(duì)游戲與加密貨幣用戶。
用戶 @Crypto-ALMV 于 4 月 29 日創(chuàng)建了一個(gè)相關(guān)的 Youtube 頻道,來宣傳針對(duì)加密貨幣錢包的產(chǎn)品功能。但頻道、用戶與視頻都處于早期階段,可能尚未正式啟用。
Youtube 頻道信息
結(jié)論隨著普及度越來越高,針對(duì) macOS 用戶的攻擊越來越多。很多 macOS 的設(shè)備都缺乏良好的保護(hù),犯罪分子有很多機(jī)會(huì)可以進(jìn)行攻擊。而且 Atomic Stealer 售賣犯罪工具也是很賺錢的,許多犯罪分子都急于竊取用戶數(shù)據(jù)。
標(biāo)簽:
