Atomic Stealer Mac 恶意软件通过恶意广告传播
最近检测到了一次恶意广告活动,该活动分发了名为 Atomic Stealer 或 AMOS 的 macOS 盗窃恶意软件的更新版本,这表明其创建者正在积极维护。
Atomic Stealer 是一种易于使用的 Golang 恶意软件,每月价格为 1,000 美元,最初于 2023 年 4 月出现。此后不久,出现了具有扩展数据收集功能的新变体,目标是游戏玩家和加密货币爱好者。
此活动中观察到的主要分发方式是通过 Google Ads 进行恶意广告。在搜索引擎上搜索流行软件(无论是合法的还是破解的)的用户会遇到虚假广告,这些广告会将他们重定向到托管恶意安装程序的网站。
在最新的活动中,一个欺骗性的 TradingView 网站突出显示了三个适用于 Windows、macOS 和 Linux 操作系统的下载按钮。
原子窃取者有效负载通过 Discord 上托管的文件分布
Malwarebytes 威胁情报总监 Jérôme Segura 解释说,Windows 和 Linux 按钮都会指向 Discord 上托管的 MSIX 安装程序,该安装程序会删除 NetSupport RAT。
标记为“TradingView.dmg”的 macOS 负载是 6 月底发布的 Atomic Stealer 新版本。它捆绑在一个自定义签名的应用程序中,该应用程序在执行时会提示用户输入虚假密码请求,从而能够收集存储在 iCloud 钥匙串和网络浏览器中的文件和数据。
攻击者的最终目标是绕过 macOS Gatekeeper 保护,并将窃取的数据传输到他们控制下的服务器。
这一发展恰逢 macOS 成为越来越有吸引力的恶意软件攻击目标。最近几个月,犯罪论坛上出现了 macOS 专用的信息盗窃工具,利用 Apple 系统在组织中的广泛使用。