Unit 42警告：MacOS 信息窃取者恶意软件数量急剧上升

Palo Alto Networks 的 Unit 42 调查显示，在过去两个季度中，macOS 恶意软件检测数量翻了一番，这主要是由于旨在窃取敏感用户数据的信息窃取程序激增所致。

信息窃取程序通常以恶意软件即服务的形式出售，是 Mac 和 MacBook 用户最常利用的威胁。只有三个流行的恶意软件家族占据了市场主导地位。

Unit 42 团队表示：“针对多个地区和行业的 macOS 用户的攻击数量不断增加。在我们自己的遥测中，我们发现 2024 年最后两个季度 macOS 信息窃取者的数量增加了 101%。”

为了最大限度地收集数据并实现潜在盈利，Mac 被不加区分地作为攻击目标。信息窃取者收集各种敏感信息，从财务信息、加密钱包到各种服务的凭证。

随后，这些数据被用来攻击组织并使其面临重大风险，包括数据泄露或勒索软件部署的初始访问权限。

据研究人员称，macOS 信息窃取者经常利用原生的 AppleScript 框架。AppleScript 是 Apple 创建的一种脚本语言，允许用户直接控制可编写脚本的 Macintosh 应用程序和 MacOS 本身的部分功能。

“该框架提供了广泛的操作系统访问权限，并且还通过其自然语言语法简化了执行。由于这些提示看起来像合法的系统提示，攻击者会使用该框架通过社会工程学欺骗受害者。例如，他们可以提示受害者输入凭据或诱骗他们禁用安全控制。”研究人员说。

主要三种信息窃取病毒如下：

Atomic Stealer (AMOS)：于 2023 年 4 月发现，这种恶意软件即服务在非法黑客论坛上出售。运营商通常通过恶意广告 (malvertising) 分发它。AMOS 能够窃取笔记和文档、浏览器数据（包括密码、cookie 等）、加密钱包和即时通讯数据。

Poseidon Stealer：被认为是 Atomic Stealer 的一个分支。黑客通过木马安装程序传播该病毒，模仿合法应用程序。Google 广告和恶意垃圾邮件经常被滥用来传播。Poseidon 会通过对话框提示用户获取密码。它还会收集系统信息、浏览器密码和 cookie、加密钱包、Notes 应用程序的凭证和笔记、Telegram 数据以及 BitWarden 和 KeePassXC 管理器的密码。

Cthulhu Stealer：另一种流行的恶意软件即服务通过恶意应用程序安装程序传播。它会提示用户输入密码，还会收集大量信息。Cthulhu 不仅会收集其他信息窃取者获取的数据，还会收集具有多个扩展名的文件、FileZilla 配置文件、与 Minecraft、游戏平台 Battle.net 相关的数据等。

“这些威胁之所以重要，不仅因为它们可以直接窃取信息，还因为它们可以成为其他恶意活动的切入点。例如，部署信息窃取程序的入侵可能会导致勒索软件的部署。”Unit 42 警告说。

安全专家建议使用安全服务和软件监控敏感文件访问和不寻常的 AppleScript 执行。

技术报告：

https://unit42.paloaltonetworks.com/macos-stealers-growing/

新闻链接：

https://cybernews.com/security/macos-infostealers-rising-sharply/

讲述普通人能听懂的安全故事