历史上，人们倾向于认为macOS比Windows更不易受到恶意软件的侵害，可能是因为这个操作系统的市场份额比Windows小，并且拥有一套原生的安全特性，这要求恶意软件开发者采取不同的方法。人们认为，即使macOS确实容易受到攻击，那也是针对一些奇特、非传统的攻击和恶意软件。但随着时间的推移，这种情况已经发生了变化。主流恶意软件现在开始定期影响macOS（尽管没有Windows那么严重），信息窃贼就是其中的一个主要例子。在我们的遥测数据中，窃贼占过去六个月所有macOS检测的50%以上，而Atomic macOS Stealer（AMOS）是我们看到的最常见的家族之一。

AMOS，最初由Cyble在2023年4月报告，旨在从受感染的机器上窃取敏感数据——包括cookies、密码、自动填充数据和加密货币钱包的内容——并将它们发送回威胁行为者。在这一点上，威胁行为者可能会自己使用窃取的信息——或者更有可能，将其出售给犯罪市场上的其他威胁行为者。

这种被盗数据的市场——在网络犯罪地下世界中被称为“日志”——是庞大且非常活跃的，AMOS的价格在过去一年中翻了三倍——这既说明了对针对macOS用户的渴望，也说明了对犯罪分子来说这样做的价值。

虽然AMOS并非市场上唯一的参与者——竞争对手包括MetaStealer、KeySteal和CherryPie——但它是最突出的之一，因此我们整理了一个关于AMOS是什么以及它是如何工作的简要指南，以帮助防御者掌握这种日益普遍的恶意软件。

分发

AMOS在公共Telegram频道上被宣传和销售。回到2023年5月，它的价格是每月1000美元（“终身”许可证的价格未公开），但我们报告称，截至2024年5月，成本似乎已经增加到每月3000美元。正如下面的截图所示，AMOS广告包括一个庞大的目标浏览器列表（具有窃取cookies、密码和自动填充信息的能力）；加密货币钱包和敏感系统信息（包括Apple钥匙串和macOS密码）。正如下面的截图所示，AMOS广告包括一个庞大的目标浏览器列表（具有窃取cookies、密码和自动填充信息的能力）；加密货币钱包和敏感系统信息（包括Apple钥匙串和macOS密码）。

图1：Telegram频道上的AMOS广告。注意截图底部的3000美元价格

初始感染向量

从我们在遥测中观察到的，以及其他研究人员发现的情况来看，许多威胁行为者通过恶意广告（一种威胁行为者滥用有效的在线广告框架将用户引向包含恶意软件的恶意网站的技术）或“SEO中毒”（利用搜索引擎排名算法使恶意网站出现在搜索引擎结果的顶部）来感染目标。当毫无戒心的用户搜索特定软件或实用程序的名称时，威胁行为者的网站在结果中显著出现——并提供一个下载，这通常模仿了合法应用程序，但秘密地在用户的机器上安装了恶意软件。

我们以这种方式看到的一些合法应用程序包括：Notion，一个生产力应用程序；Trello，一个项目管理工具；Arc浏览器；Slack；以及Todoist，一个待办事项列表应用程序。

图2：模仿合法Slack域名的恶意域名，以诱骗用户下载信息窃贼

然而，AMOS的恶意广告也扩展到了社交媒体。例如，我们在X.com上观察到一个恶意广告活动，导致一个假的“Clean My Mac X”（一个合法的macOS应用程序）安装程序托管在一个模仿macpaw[.]us的域名上，这个域名欺骗性地模仿了这个产品的真正网站。

图3：在X.com上的恶意广告活动

图4：托管AMOS的域名（从urlscan获得）。注意，恶意广告者创建了一个与iTunes商店非常相似的页面。Sophos和其他供应商已将此域名分类为恶意

在调查涉及AMOS的客户事件后，我们还注意到威胁行为者在GitHub上托管了AMOS二进制文件，可能是作为类似恶意广告的活动的一部分。

图5：托管在GitHub上的AMOS（现已删除）

我们还发现了几个托管AMOS恶意软件的开放目录。其中一些域名还在分发Windows恶意软件（Rhadamanthys信息窃贼）。

图6：伪装成合法应用程序的各种恶意样本托管的域名

C2命令和控制

AMOS C2面板受到凭据保护。正如下面的截图所示，面板为威胁行为者的利益提供了活动和被盗数据的简单可视化。

图7：活跃的AMOS C2登录面板（从urlscan获得）

图8：用于访问被盗数据的AMOS面板模板（从urlscan获得）

图9：显示不同数据的AMOS日志（此图像取自AMOS营销材料；威胁行为者自己已经对一些信息进行了编辑）

不断演变的能力

正如我们前面提到的，AMOS最初是在2023年4月报告的。从那时起，恶意软件已经发展到逃避检测和复杂分析。例如，恶意软件的函数名称和字符串现在被混淆了。

图10：AMOS代码的截图，显示了早期版本（左）和混淆版本（右）。注意，左手版本中的函数名称是可读的，但在右侧的新版本中已经被混淆

我们还观察到最近的AMOS变体使用了Python下拉器（其他研究人员也报告了这一点），恶意软件开发者将一些关键数据——包括字符串和函数——转移到了这个下拉器上，而不是主Mach-O二进制文件，可能是为了避免检测。

图11：Python下拉器中的字符串和函数

图12：Python样本的摘录，它调用AppleScript用于“filegrabber()”函数。这个函数在早期版本的二进制文件中被包含，但在这里，威胁行为者已经在Python中重新实现了整个函数

可能的未来发展方向

AMOS分销商最近发布了一则广告，声称他们将推出一个新版本的恶意软件，目标是iPhone用户。然而，到目前为止，我们还没有看到任何在野外的样本，无法确认在撰写本文时是否有iOS版本的AMOS可供出售。

图13：AMOS Telegram频道上关于iOS目标的帖子。俄文文本读作（翻译）：“好吧，iPhone已经打开了。我们期待一个新的iOS产品能够普及。测试显示成功。价格将是合适的。”

这一公告背后的可能驱动力是欧盟的数字市场法案（DMA），根据该法案，苹果公司有义务从iOS 17.4起为欧盟的iPhone用户提供替代应用商店。开发人员还将被允许直接从他们的网站分发应用程序——这可能意味着寻找分发iOS版本AMOS的威胁行为者可以采用他们目前用来针对macOS用户的相同恶意广告技术。

保护和预防

正如我们在过去一年的遥测数据中看到的，威胁行为者越来越多地关注macOS，特别是以信息窃贼的形式，AMOS价格的上涨表明他们可能已经取得了一些成功。考虑到这一点，就像任何设备一样，用户应该只从有良好声誉的合法来源安装软件，并且对任何弹出窗口要求密码或提升权限要非常谨慎。

我们迄今为止看到的所有的窃贼都是在官方Mac商店之外分发的，并且没有经过苹果公司的加密验证——因此我们之前讨论了社会工程学的用途。它们还要求提供密码和不需要的数据访问信息，这应该为用户敲响警钟，特别是当第三方应用程序请求这些权限时（尽管请注意，在2024年秋季发布的macOS 15（Sequoia）中，将更难覆盖Gatekeeper“当打开未正确签名或未公证的软件时。”用户将不得不在系统设置中为每个他们想要打开的应用程序进行更改，而不仅仅是右键单击并打开。

图14：一个请求密码的macOS恶意软件示例，这应该是用户的一个巨大的红旗。注意还要求右键单击并打开

默认情况下，浏览器倾向于在固定位置存储加密的自动填充数据和加密密钥，因此运行在受感染系统上的信息窃贼可以从磁盘上提取两者。拥有基于主密码或生物识别的加密将有助于保护免受这种类型的攻击。