吳明宜安全廠商發現一隻鎖定 macOS 的竊密程式,名為 Atomic macOS Stealer(AMOS) 在 Telegram 上以每月 1,000 美元訂閱費兜售,成為最新的 macOS 禍害。
安全廠商 Cyble 研究人員發現,Atomic macOS Stealer 會竊取受害者電腦上多種資訊,包括 Keychain App 中的密碼、完整系統資訊、檔案,甚至 macOS 密碼等。
Atomic macOS Stealer 的功能頗為強大,包括從瀏覽器或從加密貨幣錢包如 Atomic 、 Binance 、 Coinomi 、 Electrum 及 Exodus 等汲取資料攻擊者可以從 Telegram 上買到 Atomic macOS Stealer 的使用權,它還提供簡單好用的 Web 控制台來「管理」被害者。
這隻惡意程式執行後會偽裝成未簽發的磁碟映像檔 (setup.dmg),要求受害者在提示視窗輸入系統密碼,使之得以升級權限,並展開惡意活動,這也是之前知名的 MacStealer 慣用技倆。
進入用戶電腦後,Atomic 會開始蒐集系統 metadata 、檔案、 iCloud Keychain 及瀏覽器儲存的密碼、 autofill 、 cookies 、信用卡號、文件資料夾中的檔案,以及加密貨幣錢包擴充程式。得手後將資訊壓縮成 ZIP 檔,以 Telegram 頻道送到外部遠端伺服器。
至於 Atomic macOS Stealer 一開始如何感染用戶電腦,研究人員目前還無從得知,可能是偽裝合法軟體騙用戶下載安裝,或是利用 Mac 軟體漏洞而植入電腦。
上個月底已上傳到病毒分析平台 VirusTotal 的 Atomic macOS Stealer 樣本還用了 Notion-7.0.6.dmg 的假名,顯示想冒充知名筆記 App Notion 。此外 MalwareHunterTeam 研究人員則發現使用 Photoshop CC 2023.dmg 及 TorBrowser.dmg 為掩護的惡意程式樣本。
Atomic 顯示 macOS 成了國家駭客以外,網路罪犯偏好的目標。和 Windows 平台一樣,用戶應養成良好使用習慣,只在可信任的平台下載軟體,並且應啟用雙因素驗證、以及定時檢查 App 的權限,留心任何經由電子郵件、通訊軟體及簡訊傳來的任何連結。