Bitdefender研究人員稱AMOS Stealer的新變種瞄準Safari Cookie和加密錢包

新的Atomic變體使用Python和Apple Script代碼來定位瀏覽器和系統文件，獲取用戶帳戶密碼，并識別沙箱或模擬器執行。

Bitdefender研究人員發現了AMOS Stealer（或Atomic Stealer）的新變種??，這是去年macOS用戶最普遍的威脅之一。據Bitdefender稱，新變種是在重新審視舊的或新的惡意軟件樣本以提高macOS網絡安全產品的檢測能力時發現的。

當研究人員分離出幾個可疑的macOS磁盤映像文件時，這些文件的大小出奇地小(1.3MB)，他們對AMOS Stealer的新變種的出現產生了懷疑。

新變種結合了眾多惡意軟件家族的功能，包括信息竊取程序、鍵盤記錄程序和加密貨幣挖掘工具，使其能夠竊取敏感數據，而其先進的隱秘性使用戶更難識別/刪除感染。

進一步的探索表明，這個變體與RustDoor的第二個變體有相似之處。研究人員指出：“兩者似乎都專注于從受害者的計算機中收集敏感文件，當前的版本是RustDoor使用的腳本的更開發版本。”

然而，新的變體有額外的功能。它收集Cookies.binarycookies文件（該文件存儲Safari瀏覽器cookie），從特定位置獲取具有目標擴展名的文件，并使用system_profiler實用程序收集有關受感染計算機的信息。

攻擊者的目標是獲取與硬件相關的詳細信息、操作系統版本以及連接的顯示器和顯卡。他們將敏感信息添加到檔案中，包括密碼、加密密鑰和證書，表明他們對加密貨幣平臺越來越感興趣。

該版本采用了一種將Python與Apple腳本相結合的不尋常技術，其中filegrabber()函數使用osascript -e命令執行一大塊Apple腳本。DMG文件包含適用于Intel和ARM架構的FAT二進制文件和Mach-O文件，威脅行為者使用它們來竊取數據。

正如研究人員在博客文章中指出的那樣，打開后，Crack Installer應用程序會提示用戶打開該文件。Python腳本從多個來源收集敏感數據，包括加密錢包擴展、瀏覽器數據和用戶帳戶密碼。

Chromium ()函數從基于Chromium的目標瀏覽器收集文件，包括Web數據、登錄數據和Cookie。它還針對加密貨幣瀏覽器擴展和Mach-O二進制文件。parseFF()函數以Firefox為目標并收集與所有配置文件關聯的文件。

此外，該腳本還針對已安裝的加密錢包，例如Electrum、Coinomi、Exodus或Atomic。收集到的數據存儲在ZIP存檔中，并使用POST請求發送到C2服務器。檔案結構由C2服務器確認。

目前該變種基本上未被發現。Bitdefender發布了妥協指標來幫助組織和從業者檢測和減輕這種威脅。