Atomic Stealer Mac 惡意軟件通過惡意廣告傳播

最近檢測到了一次惡意廣告活動，該活動分發了名為 Atomic Stealer 或 AMOS 的 macOS 盜竊惡意軟件的更新版本，這表明其創建者正在積極維護。

Atomic Stealer 是一種易於使用的Golang 惡意軟件，每月價格為1,000 美元，最初於2023 年4 月出現。此後不久，出現了具有擴展數據收集功能的新變體，目標是遊戲玩家和加密貨幣愛好者。

此活動中觀察到的主要分發方式是通過 Google Ads 進行惡意廣告。在搜索引擎上搜索流行軟件（無論是合法的還是破解的）的用戶會遇到虛假廣告，這些廣告會將他們重定向到託管惡意安裝程序的網站。

在最新的活動中，一個欺騙性的 TradingView 網站突出顯示了三個適用於 Windows、macOS 和 Linux 操作系統的下載按鈕。

原子竊取者有效負載通過 Discord 上託管的文件分佈

Malwarebytes 威脅情報總監 Jérôme Segura 解釋說，Windows 和 Linux 按鈕都會指向 Discord 上託管的 MSIX 安裝程序，該安裝程序會刪除 NetSupport RAT。

標記為“TradingView.dmg”的 macOS 負載是 6 月底發布的 Atomic Stealer 新版本。它捆綁在一個自定義簽名的應用程序中，該應用程序在執行時會提示用戶輸入虛假密碼請求，從而能夠收集存儲在 iCloud 鑰匙串和網絡瀏覽器中的文件和數據。

攻擊者的最終目標是繞過 macOS Gatekeeper 保護，並將竊取的數據傳輸到他們控制下的服務器。

這一發展恰逢 macOS 成為越來越有吸引力的惡意軟件攻擊目標。最近幾個月，犯罪論壇上出現了專門針對 macOS 的信息盜竊工具，利用 Apple 系統在組織中的廣泛使用。