原震軒

IT之家7月9日消息，科技媒體AppleInsider昨日（7月8日）發(fā)布博文，報(bào)道稱(chēng)針對(duì)蘋(píng)果macOS系統(tǒng)的惡意軟件AtomicmacOSStealer（AMOS）新增了后門(mén)持久化安裝功能，進(jìn)一步威脅Mac用戶(hù)。

IT之家此前報(bào)道，AMOS惡意軟件可以追溯到2023年4月，可以竊取訪(fǎng)問(wèn)鑰匙串密碼、系統(tǒng)信息、桌面和文檔文件夾中的文件以及Mac的密碼。

AMOS還可以滲透Chrome和Firefox等瀏覽器應(yīng)用程序中，提取自動(dòng)填充信息、密碼、cookie、錢(qián)包和信用卡信息，并搜索Electrum、Binance和Atomic等加密錢(qián)包，以便于竊取相關(guān)資料和財(cái)產(chǎn)。

AMOS在2024年2月迎來(lái)新變種，大小不僅縮小到1.3MB左右，而且隱蔽性更強(qiáng)，破壞力更大。

AMOS新變種在保持隱蔽的情況下，使用Python腳本和AppleScript執(zhí)行收集用戶(hù)數(shù)據(jù)的操作。AppleScript功能與之前記錄的一款名為RustDoor的惡意軟件相似，兩個(gè)版本的AppleScript都側(cè)重于收集敏感文件。

而根據(jù)MacPaw安全部門(mén)Moonlock最新發(fā)現(xiàn)，AMOS目前增加了后門(mén)持久化安裝功能，意味著在竊取用戶(hù)數(shù)據(jù)和加密錢(qián)包之外，AMOS還可以通過(guò)后門(mén)，擴(kuò)展到控制完整的Mac系統(tǒng)。

該安全部門(mén)分析新版AMOS的代碼，前幾個(gè)階段并沒(méi)有變化，不過(guò)在數(shù)據(jù)收集階段后運(yùn)行，新增運(yùn)行后門(mén)操作，通過(guò)偽裝成合法安裝程序的trojanizedDMG文件，文件中包含了Mach-Obash包裝腳本和一系列擴(kuò)展，從而繞過(guò)Gatekeeper安全檢查。

該安全部門(mén)還指出盡管后門(mén)安裝提高了AMOS的能力，但似乎并沒(méi)有達(dá)到其最大潛力，AMOS版本有很大的擴(kuò)展?jié)摿?，這些功能很可能會(huì)隨著時(shí)間推移而出現(xiàn)。