Atomic Stealer

网络安全专家透露，威胁行为者正在消息应用程序 Telegram 上销售一种名为 Atomic Stealer 的新恶意软件。这个恶意软件是用 Golang 编写的，专门针对 macOS 平台设计，可以从受害者的机器上窃取敏感信息。

威胁参与者正在 Telegram 上积极推广 Atomic Stealer，他们最近在其中强调了展示威胁最新功能的更新。这种窃取信息的恶意软件给 macOS 用户带来了严重的风险，因为它可能会破坏存储在他们机器上的敏感信息，包括密码和系统配置。恶意软件研究人员在一份报告中披露了有关该威胁的详细信息。

原子窃取者拥有广泛的威胁能力

Atomic Stealer 具有多种数据窃取功能，使其操作员能够更深入地渗透到目标系统中。当执行不安全的 dmg 文件时，恶意软件会显示一个伪造的密码提示，以诱骗受害者提供他们的系统密码，从而允许攻击者在受害者的机器上获得提升的权限。

这是访问敏感信息的必要步骤，但未来的更新可能会使用它来更改关键系统设置或安装其他有效负载。在最初的妥协之后，恶意软件会尝试提取 Keychain 密码，这是 macOS 的内置密码管理器，用于存储 WiFi 密码、网站登录和信用卡数据等加密信息。

Atomic Stealer 瞄准 50 多个加密钱包

一旦 Atomic 攻破了 macOS 机器，它就可以从设备上的软件中提取各种类型的信息。该恶意软件针对桌面加密货币钱包，如 Electrum、Binance、Exodus 和 Atomic 本身，以及 50 多个加密货币钱包扩展，包括 Trust Wallet、Exodus Web3 Wallet、Jaxx Liberty、Coinbase、Guarda、TronLink、Trezor Password Manager、Metamask、Yoroi和币安链。

Atomic 还从 Google Chrome、Mozilla Firefox、Microsoft Edge、Yandex、Opera 和 Vivaldi 窃取 Web 浏览器数据，例如自动填充、密码、cookie 和信用卡信息。此外，它还可以收集系统信息，如型号名称、硬件 UUID、RAM 大小、内核数、序列号等。

此外，Atomic 使操作员能够从受害者的“桌面”和“文档”目录中窃取文件，但它必须首先请求访问这些文件的权限，这可以为受害者提供检测恶意活动的机会。

收集数据后，恶意软件会将其压缩成 ZIP 文件并将其传输到威胁参与者的命令与控制 (C&C) 服务器。 C&C 服务器托管在“amos-malware[.]ru/sendlog”。

虽然 macOS 历来不像 Windows 等其他操作系统那样容易受到有害活动的影响，但它现在正成为各种技能水平的威胁参与者越来越受欢迎的目标。这可能是由于 macOS 用户的数量不断增加，尤其是在商业和企业领域，这使其成为网络犯罪分子窃取敏感数据或未经授权访问系统的有利可图的目标。因此，macOS 用户必须保持警惕并采取必要的预防措施来保护他们的设备免受这些威胁。