Telegram 上出售新 macOS 恶意软件 Atomic Stealer

最近，在地下论坛中出现了许多 macOS 的信息窃密程序，例如 Pureland、MacStealer和Amos Atomic
Stealer。其中，Atomic Stealer 提供了迄今为止最完整的功能，例如窃取账户密码、浏览器数据、会话 Cookie 与加密货币钱包信息。在
Telegram 的宣传中，攻击者可以以每月 1000 美元的价格租用 Web 控制面板来管理攻击活动。

不过攻击者不止步于此，也一直在寻找各种方法通过不同版本的 Atomic Stealer 来攻击 macOS 用户。近日，研究人员就发现了全新的 Atomic
Stealer 变种。

Atomic Stealer 分发

目前，攻击者通过特定的 Telegram 频道来分发 Amos Atomic MacOS Stealer。4 月 9 日开通的频道中，开发者以每月 1000
美元的价格提供控制面板租用服务，并且提供最新基于磁盘镜像的安装程序。

通过
Telegram 宣传

Payload 的分配与租用的攻击者有关，因此其实现方式各不相同。目前为止，在野观察到的情况有伪装成 Tor
浏览器等合法应用程序的安装程序，也有伪装成常见软件（Photoshop CC、Notion 、Microsoft Office 等）的破解版本。

伪装成合法应用程序

通过 Google Ads 投放的恶意广告也是分发的途径之一：

部分分发
URL

Atomic Stealer 频道目前拥有超过 300 名订阅者，有部分订阅者表示十分满意该恶意软件。

表达支持的消息

Atomic Stealer 变种 A

虚假应用程序是使用 Appify 的一个分支开发的，该脚本主要用于帮助制作 macOS 应用程序。所有的 Atomic Stealer
目前都包含相同的、Go 开发的可执行文件，大约为 51.5MB。

二进制文件分析

除了 Appify README 之外，Bundle 仅包含 Go 程序文件、图标文件与 Info.plist。

应用程序结构

当前分发的应用程序包都是使用默认的 Appify 包标识符构建的，这可能是攻击者为了逃避检测故意的。

变种 A 的行为

Atomic Stealer 并没有进行持久化，这也是业界的一种趋势。因为从 macOS Ventura
开始，苹果增加了登录项通知，攻击者也开始转向一次性窃密。尽管 Atomic Stealer 通过 AppleScript
欺骗获取用户登录密码的方式十分粗糙，但仍然十分有效。

窃取用户登录密码

攻击者使用 osascript 创建对话框，并将 hidden answer 参数传递给 display dialog
命令。这样将创建一个类似身份验证的对话框，但用户输入的密码明文会被攻击者获取，而且系统日志中也会进行记录。

display dialog "MacOS wants to access System PreferencesYou entered invalid password.Please enter your password." with title "System Preferences" with icon file "System:Library:CoreServices:CoreTypes.bundle:Contents:Resources:ToolbarAdvanced.icns" default answer "" giving up after 30 with hidden answer ¬

对话框弹出的消息中包含语法与句法错误，这表明开发者的母语可能不是英语。如果点击取消只会不断循环弹出对话框，点击确定后会通过 /usr/bin/dscl
-authonly 来校验是否输入了有效密码。通过 osascript 反复调用对话框，很容易进行检测。

密码校验

窃取完各种用户凭据后，Atomic Stealer 会向用户弹出错误信息。但从单词拼写错误以及错误消息不应该包含取消按钮来看，攻击者对英语与
AppleScript 都并不熟悉。

成功窃取用户数据后抛出错误信息

攻击者主要是以经济获利为动机而进行的网络犯罪。

信息窃取函数

该恶意软件包含窃取用户钥匙串与加密钱包密钥的功能，例如 Atomic、Binance、Electrum 和 Exodus 等。Atomic Stealer
在内存中生成一个名为 unix1 的进程来获取钥匙串，并且针对 Chrome 和 Firefox 浏览器的扩展进行窃密。

Atomic
Stealer 执行链

Atomic Stealer 变种 B

根据某些样本文件发现的 37.220.87.16，可以关联到其他变种。该变种文件在 VirusTotal 上的检出率仍然为零，且伪装成游戏安装程序。

新变种

该变种不再依赖应用程序包进行分发，而是通过原始 Go 二进制文件直接进行分发。以 Game Installer 为文件名的文件，在 4 月 13 日被上传到
VirusTotal。DMG 文件的图标中，显示了文本 Start Game。

程序图标

由于二进制文件并未携带签名，必须用户介入才能执行。

变种 B 的功能相比变种 A 更多，主要集中在 Firefox 和 Chromium 浏览器上。变种 B 还新增了针对 Coinomi 钱包的窃密。

变种
B 的主要函数

变体 A 和 B 都使用 /usr/bin/security 来查找 Chrome 密码。

security 2>&1 > /dev/null find-generic-password -ga 'Chrome' | awk '{print $2}

查找
Chrome 密码

根据变种 B 来看，开发机的用户名为 administrator。这与变种 A 不同，变种 A 开发机的用户名为 iluhaboltov。变种 B
中，还发现了字符串 ATOMIC STEALER COOCKIE。

硬编码字符串

与 Telegram 频道中提供的软件包不同，此版本的 Atomic Stealer 在窃取信息方面更具选择性，似乎专门针对游戏与加密货币用户。

用户 @Crypto-ALMV 于 4 月 29 日创建了一个相关的 Youtube
频道，来宣传针对加密货币钱包的产品功能。但频道、用户与视频都处于早期阶段，可能尚未正式启用。

Youtube
频道信息

结论

随着普及度越来越高，针对 macOS 用户的攻击越来越多。很多 macOS 的设备都缺乏良好的保护，犯罪分子有很多机会可以进行攻击。而且 Atomic
Stealer 售卖犯罪工具也是很赚钱的，许多犯罪分子都急于窃取用户数据。

IOC

amos-malware[.]ru/sendlogillegal
37[.]220.87[.]16:5000/sendlog
0a87b12b2d12526c8ba287f0fb0b2f7b7e23ab4a
24c9f5c90ad325dae02aa52e2b1bac2857ae2faf
36997111b5e7aa81b430a72df9f54bac2a9695ba
7534b4ef7727d14b4fdd32d18651d32572c7747b
0db22608be1172844c0ebf08d573ea4e7ef37308
2681a24f0ec0b1c153cc12d5d861c0c19c8383ea
385b9cc7d3147f049e7b42e97f242c5060fc9e97
46426409b9e65043b15ce2fcddd61213ff4e5156
48a0a7d4f0ae4b79b4f762857af3bbb02e8ab584
4f25d1a1aa18c8d85d555cd7a8f1cf2cf202af8c
58a3bddbc7c45193ecbefa22ad0496b60a29dff2
5d2e995fa5dce271ac5e364d7198842391402728
79007aabf9970e0aff7df52fd1c658b69f950c6f
793195d48cce96bb9b4fc1ee5bac03b371db75f7
82f4647e6783b012fc9a1f86108c644fcf491cf6
849cde22d1d188cc290bb527bbd7252ad07099af
9058ab6e05cb1f9ce77e4f8c18324a6827fb270d
97b19a82a32890d5ddaecac5a294cc3384309ea9
98f98a737a26c9dd1b27c474715976356ea4e18b
aab3a2897950e85a2b957f77d2f100e61e29061c
b42243d72765f142953bb26794b148858bff10a8
ca05f80fe44174d1089077f4b2303c436653226f
d5db5a11b9605d54cf66a153b0112b91c950d88f
d9d46ecfc1100d2b671ad97dc870e879d2634473
de465aad6cde9f0ce30fce0157bc18abf5a60d40
e114f643805394caece2326fb53e5d3a604a1aa9
f28025717f9db8a651f40c8326f477bf9d51a10f
1f29b00c18bc0b7e1dfee5e79f8111da09f8fab8
a02730f734032ed0f3b3705926b657aa4b88d720
c70fdf4362eb56032793ab08e6aeb892f1bd4a9b
e951b889aabca7ee5b0ff9d06a057884ed788b70

参考来源

[SentinelOne](https://www.sentinelone.com/blog/atomic-stealer-threat-actor-
spawns-second-variant-of-macos-malware-sold-on-telegram/)

d788b70

参考来源

[SentinelOne](https://www.sentinelone.com/blog/atomic-stealer-threat-actor-
spawns-second-variant-of-macos-malware-sold-on-telegram/)

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！