Atomic Stealer Mac 恶意软件通过恶意广告传播

最近检测到了一次恶意广告活动，该活动分发了名为 Atomic Stealer 或 AMOS 的 macOS 盗窃恶意软件的更新版本，这表明其创建者正在积极维护。

Atomic Stealer 是一种易于使用的 Golang 恶意软件，每月价格为 1,000 美元，最初于 2023 年 4 月出现。此后不久，出现了具有扩展数据收集功能的新变体，目标是游戏玩家和加密货币爱好者。

此活动中观察到的主要分发方式是通过 Google Ads 进行恶意广告。在搜索引擎上搜索流行软件（无论是合法的还是破解的）的用户会遇到虚假广告，这些广告会将他们重定向到托管恶意安装程序的网站。

在最新的活动中，一个欺骗性的 TradingView 网站突出显示了三个适用于 Windows、macOS 和 Linux 操作系统的下载按钮。

原子窃取者有效负载通过 Discord 上托管的文件分布

Malwarebytes 威胁情报总监 Jérôme Segura 解释说，Windows 和 Linux 按钮都会指向 Discord 上托管的 MSIX 安装程序，该安装程序会删除 NetSupport RAT。

标记为“TradingView.dmg”的 macOS 负载是 6 月底发布的 Atomic Stealer 新版本。它捆绑在一个自定义签名的应用程序中，该应用程序在执行时会提示用户输入虚假密码请求，从而能够收集存储在 iCloud 钥匙串和网络浏览器中的文件和数据。

攻击者的最终目标是绕过 macOS Gatekeeper 保护，并将窃取的数据传输到他们控制下的服务器。

这一发展恰逢 macOS 成为越来越有吸引力的恶意软件攻击目标。最近几个月，犯罪论坛上出现了 macOS 专用的信息盗窃工具，利用 Apple 系统在组织中的广泛使用。