Atomic Stealer Mac 惡意軟件通過惡意廣告傳播
最近檢測到了一次惡意廣告活動,該活動分發了名為 Atomic Stealer 或 AMOS 的 macOS 盜竊惡意軟件的更新版本,這表明其創建者正在積極維護。
Atomic Stealer 是一種易於使用的Golang 惡意軟件,每月價格為1,000 美元,最初於2023 年4 月出現。此後不久,出現了具有擴展數據收集功能的新變體,目標是遊戲玩家和加密貨幣愛好者。
此活動中觀察到的主要分發方式是通過 Google Ads 進行惡意廣告。在搜索引擎上搜索流行軟件(無論是合法的還是破解的)的用戶會遇到虛假廣告,這些廣告會將他們重定向到託管惡意安裝程序的網站。
在最新的活動中,一個欺騙性的 TradingView 網站突出顯示了三個適用於 Windows、macOS 和 Linux 操作系統的下載按鈕。
原子竊取者有效負載通過 Discord 上託管的文件分佈
Malwarebytes 威脅情報總監 Jérôme Segura 解釋說,Windows 和 Linux 按鈕都會指向 Discord 上託管的 MSIX 安裝程序,該安裝程序會刪除 NetSupport RAT。
標記為“TradingView.dmg”的 macOS 負載是 6 月底發布的 Atomic Stealer 新版本。它捆綁在一個自定義簽名的應用程序中,該應用程序在執行時會提示用戶輸入虛假密碼請求,從而能夠收集存儲在 iCloud 鑰匙串和網絡瀏覽器中的文件和數據。
攻擊者的最終目標是繞過 macOS Gatekeeper 保護,並將竊取的數據傳輸到他們控制下的服務器。
這一發展恰逢 macOS 成為越來越有吸引力的惡意軟件攻擊目標。最近幾個月,犯罪論壇上出現了專門針對 macOS 的信息盜竊工具,利用 Apple 系統在組織中的廣泛使用。