如果您在 Mac 上点击恶意链接,则很可能会触发 Atomic MacOS Stealer (AMOS)。
自去年 4 月出现以来,这种恶意软件已成为黑客窃取加密货币、密码和会话令牌的首选。由于需求量大,其成本已翻了三倍。
Sophos X-Ops 发布的新威胁研究揭示了影响 macOS 用户的一个令人担忧的趋势——主流恶意软件现在开始定期攻击 Mac。
AMOS 是罪魁祸首。
这种恶意软件是信息窃取者中最常见的一种,在过去六个月中,这种类型的恶意软件占所有 macOS 指令的 50% 以上。
报告中写道:
人们过去倾向于认为 macOS 比 Windows 更不容易受到恶意软件的攻击,可能是因为该操作系统的市场份额低于 Windows,并且拥有一套原生的安全功能。
随着时间的推移,情况发生了变化。
AMOS 是一种专门用于窃取敏感数据(例如 Cookie、密码、自动填充数据或加密货币钱包内容)的恶意工具。
受感染的机器会将收集到的信息发送给威胁行为者,后者很可能会将其出售给其他专门从事数据利用的网络犯罪分子。
“日志”市场(网络犯罪圈内被盗数据)正在蓬勃发展,从而提高了 AMOS 的价格。
Sophos 的研究人员表示:
AMOS 的价格在过去一年里上涨了两倍,这既表明了其针对 macOS 用户的意图,也表明了其对犯罪分子的价值。
该恶意软件最初以每月 1000 美元的价格出售,现在价格已升至每月 3000 美元,正如公共 Telegram 频道所宣传的那样。
终身许可证的价格尚未披露。
黑客在 Telegram 上吹嘘 AMOS 能够从 Notes、Keychain 和 SystemInfo 收集信息,获取 MacOS 密码,并针对流行的浏览器,窃取自动填充、cookie 和密码(Safari - 仅限 cookie)。
受影响的加密钱包和插件包括 Electrum、Binance、Exodus、Atomic 和 Coinomi。
据称,该恶意软件是在控制台隐藏的情况下启动的。
Sophos 研究人员表示:
我们发现 AMOS 以这种方式模仿的一些合法应用程序包括生产力应用程序 Notion、项目管理工具 Trello、Arc 浏览器、Slack 和待办事项列表应用程序 Todoist。
恶意广告已扩展到社交媒体。观察到的一些示例是“Clean My Mac X”的虚假安装程序,而这是一款合法应用程序。
威胁行为者滥用合法基础设施(例如 GitHub)来托管 AMOS 二进制文件。
AMOS 自出现以来已发展了一年多。为了逃避检测,其代码已被混淆。
除了 Mach-O 可执行文件外,最近的变体还包括重新实现先前函数的 Python 脚本,很可能是为了逃避检测。
Sophos 警告称,Atomic Malware 的创建者现在也声称其具备针对 iOS 的功能。
iPhone 已经打开了。我们期待一款面向大众的全新 iOS 产品。测试显示成功。价格合适,一名网络罪犯在帖子中写道。
欧盟的《数字市场法案》(DMA)要求苹果向其他应用市场开放平台,这可能成为恶意软件开发者的驱动力。
他们可能会开始从恶意网站分发 AMOS 的 iOS 版本,就像他们目前针对 macOS 用户所做的那样。
目前,macOS 上的所有窃取程序均在官方 Apple 商店之外分发,且未经验证。
因此,威胁行为者必须依靠社会工程学来让用户下载窃取程序并与要求输入权限和密码的弹出窗口进行交互。
AMOS 并不是唯一的参与者,其他竞争对手包括 MetaStealer、KeySteal 和 CherryPie。
Sophos X-OPS 建议仅安装来自合法来源的可信软件,并注意任何要求输入密码或权限的弹出窗口。
原文始发于微信公众号(网络研究观):新型恶意软件撼动 macOS 安全,黑客下一步瞄准 iPhone
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论