原子竊取者

網絡安全專家透露，威脅行為者正在消息應用程序 Telegram 上銷售一種名為 Atomic Stealer 的新惡意軟件。這個惡意軟件是用 Golang 編寫的，專門針對 macOS 平台設計，可以從受害者的機器上竊取敏感信息。

威脅參與者正在 Telegram 上積極推廣 Atomic Stealer，他們最近在其中強調了展示威脅最新功能的更新。這種竊取信息的惡意軟件給 macOS 用戶帶來了嚴重的風險，因為它可能會破壞存儲在他們機器上的敏感信息，包括密碼和系統配置。惡意軟件研究人員在一份報告中披露了有關該威脅的詳細信息。

原子竊取者擁有廣泛的威脅能力

Atomic Stealer 具有多種數據竊取功能，使其操作員能夠更深入地滲透到目標系統中。當執行不安全的 dmg 文件時，惡意軟件會顯示一個偽造的密碼提示，以誘騙受害者提供他們的系統密碼，從而允許攻擊者在受害者的機器上獲得提升的權限。

這是訪問敏感信息的必要步驟，但未來的更新可能會使用它來更改關鍵系統設置或安裝其他有效負載。在最初的妥協之後，惡意軟件會嘗試提取 Keychain 密碼，這是 macOS 的內置密碼管理器，用於存儲 WiFi 密碼、網站登錄和信用卡數據等加密信息。

Atomic Stealer 瞄準 50 多個加密錢包

一旦 Atomic 攻破了 macOS 機器，它就可以從設備上的軟件中提取各種類型的信息。該惡意軟件針對桌面加密貨幣錢包，如 Electrum、Binance、Exodus 和 Atomic 本身，以及 50 多個加密貨幣錢包擴展，包括 Trust Wallet、Exodus Web3 Wallet、Jaxx Liberty、Coinbase、Guarda、TronLink、Trezor Password Manager、Metamask、Yoroi和幣安鏈。

Atomic 還從 Google Chrome、Mozilla Firefox、Microsoft Edge、Yandex、Opera 和 Vivaldi 竊取 Web 瀏覽器數據，例如自動填充、密碼、cookie 和信用卡信息。此外，它還可以收集系統信息，如型號名稱、硬件 UUID、RAM 大小、內核數、序列號等。

此外，Atomic 使操作員能夠從受害者的“桌面”和“文檔”目錄中竊取文件，但它必須首先請求訪問這些文件的權限，這可以為受害者提供檢測惡意活動的機會。

收集數據後，惡意軟件會將其壓縮成 ZIP 文件並將其傳輸到威脅參與者的命令與控制 (C&C) 服務器。 C&C 服務器託管在“amos-malware[.]ru/sendlog”。

雖然 macOS 歷來不像 Windows 等其他操作系統那樣容易受到有害活動的影響，但它現在正成為各種技能水平的威脅參與者越來越受歡迎的目標。這可能是由於 macOS 用戶的數量不斷增加，尤其是在商業和企業領域，這使其成為網絡犯罪分子竊取敏感數據或未經授權訪問系統的有利可圖的目標。因此，macOS 用戶必須保持警惕並採取必要的預防措施來保護他們的設備免受這些威脅。