在 Bitdefender,我们不断致力于提高 macOS 网络安全产品的检测能力;这项工作的一部分涉及重新审视我们的恶意软件动物园中的旧样本(或挖掘新样本)。在例行验证过程中,我们能够隔离多个可疑且未被检测到的 macOS 磁盘映像文件,对于此类文件来说,这些文件小得惊人(每个文件 1.3 MB)。
对代码的简短查看表明,这些文件与过去几个月分析的其他样本非常相似,这使我们相信这是 AMOS(原子)窃取程序的新变种。该家族于 2023 年初首次被记录,是去年 macOS 用户最普遍的威胁之一。
主要发现
Bitdefender 研究人员能够分离出 AMOS(原子)窃取程序的新变种。新变种删除并使用 Python 脚本来保持隐蔽。
在撰写本文时,这种变体基本上尚未被发现,我们正在分享妥协指标,以帮助公司和从业者识别并阻止这种威胁。
该恶意软件还与本月早些时候的一篇博客文章中记录的 RustDoor 后门共享类似的代码。
该恶意软件会获取浏览器中存储的信息和系统上的特殊文件,还会采用策略窃取本地用户帐户密码。
该恶意软件结合了 Python 和 Apple Script 代码来实现其目标,并且似乎试图识别沙箱或模拟器执行。
每个 DMG 都包含一个 FAT 二进制文件,Mach-O每个架构有 2 个文件(Intel和ARM),其行为类似于植入程序,并不直接负责数据盗窃或所收集信息的泄露。单击 DMG 文件时,要求用户右键单击,然后打开Crack Installer包含在磁盘映像内的应用程序。这是威胁行为者用来覆盖 Apple 安全机制的常见策略(这将允许用户打开应用程序,即使它没有经过数字签名)。
打开后Crack Installer,嵌入的Mach-O二进制文件会将 Python 脚本放到磁盘上的路径上/var/tmp/olx 并执行它。脚本的异或内容最初存储在__const二进制文件的部分内,从中解码并放入磁盘上。
Python 窃取者
投放到磁盘上的Python脚本旨在从多个来源收集敏感数据,然后将其发送到C2服务器。其功能包括收集以下内容:
与已安装的加密钱包扩展和应用程序关联的文件
浏览器数据(密码、Cookie、登录数据、表单数据、配置文件数据等)
桌面和文档目录中具有目标扩展名的文件
硬件相关和系统信息
本地用户帐户的密码
该脚本执行的第一个操作是通过显示冒充操作系统的虚假对话框来获取用户的密码。恶意软件以系统更新为借口,提示用户输入本地帐户密码。这种技术是过去几个月出现的 Atomic Stealer 变种的典型技术。如果密码正确,它会被写入一个名为psw.
对脚本的分析揭示了一种有趣且不常见的技术,即将 Python 与 Apple 脚本相结合,因为该filegrabber()函数使用命令执行大量 Apple 脚本osascript -e。
Atomic Stealer 新变种使用的 Apple 脚本
此 Apple 脚本块的特点是 AMOS Stealer 的新变体与本月早些时候记录的RustDoor 的第二个变体之间具有高度相似性。两者似乎都专注于从受害者的计算机收集敏感文件,当前的版本是 RustDoor 使用的脚本的更开发版本。此版本提供了额外的功能,因为它还收集Cookies.binarycookies存储 Safari 浏览器 cookie 的文件,该文件位于以下路径:~/Library/Containers/com.apple.Safari/Data/Library/Cookies.
RustDoor 使用的 Apple 脚本
从特定位置收集具有目标扩展名的文件后,该脚本使用集成到 macOS 操作系统中的实用程序收集有关受感染计算机的system_profiler信息。、SPSoftwareDataType和参数表明攻击者有兴趣获取SPHardwareDataType与SPDisplaysDataType硬件相关的详细信息、操作系统的版本以及有关所连接的显示器和显卡的信息。除了收集有关目标的上下文之外,收集这些详细信息的潜在目的之一可能是检测沙箱内的虚拟环境或执行情况。该命令的结果被写入名为user的文件中。
然后,威胁行为者将文件添加到收集的文件的存档中~/Library/Keychains/login.keychain-db,该文件与用户的登录钥匙串相关联,并表示存储各种类型的敏感信息(例如密码、加密密钥和证书)的数据库。此外,他们收集的~/Library/Application Support/Binance/app-store.json文件也是 AMOS Stealer 之前变体的目标,这表明攻击者对加密货币平台越来越感兴趣。
定位浏览器
该chromium()函数的目的是从基于 Chromium 的目标浏览器(Chrome、Brave、Edge、Vivaldi 和 Opera)的每个配置文件中收集多个文件,例如:
Web Data
Login Data
Cookies
除了这些文件之外,它还尝试从已安装的加密货币浏览器扩展中收集信息。该变体所针对的 64 个扩展的 ID 被硬编码在脚本中。Mach-O属于 Atomic Stealer 系列的多个二进制文件变体还包含与目标浏览器扩展相对应的嵌入式 ID。
浏览器信息的收集也是通过该parseFF() 功能实现的,该功能针对 Firefox 浏览器并收集与所有现有配置文件关联的文件
针对钱包
该脚本还能够收集属于已安装的加密钱包的文件,例如 Electrum、Coinomi、Exodus 或 Atomic。这是通过收集受害者计算机上应用程序存储敏感数据的目录内容来完成的。
将收集到的数据发送至C2服务器
脚本从目标计算机收集的所有内容都会添加到存储在内存中的 ZIP 存档中,以此最大程度地减少受感染设备上留下的痕迹。
在数据收集阶段之后,存档的内容将使用对端点的请求发送到 C2 地址,其值在脚本开头进行硬POST
编码/p2p
。存档具有以下结构:
注意:AMOS(Atomic)Stealer 之前与俄罗斯威胁行为者有关联,C2 服务器的地址再次证实了这一点。
检测结果:
滴管Mach-O被检测为Gen:Variant.Trojan.MAC.Dropper.5或Trojan.MAC.Dropper
Python 脚本被检测为Generic.MAC.Stealer.G
妥协指标
DMG 文件的 IOC 哈希值:
0caf5b5cc825e724c912ea2a32eceb59
f0dc72530fa06b278b7da797e5fcb3a1
6c402df53630f7a41f9ceaafdca63173
e5c059cc26cc430d3294694635e06aef
b1e0274963801a8c27ef5d6b17fe4255
8672d682b0a8963704761c2cc54f7acc
11183a3f8a624dbf66393f449db8212e
e6412f07e6f2db27c79ad501fbdb6a99
b1b64298a01b55720eb71145978dd96b
15e64a1f7c5ca5d64f4b2a8bf60d76a0
4dce69d4d030bd60ee24503b8bdda39d
740e5f807102b524188ffd198fe9bb3b
8c71b553c29ff57cf135863f6de7125e
Mach-O 滴管的 IOC:
6aab14b38bbb6b07bd9e5b29a6514b62
af23cd92ab15ebcc02b91664a0adc6fb
d9c40f35b9eaf16a2a7b4204a4e369a8
6e777e9d95945386ced5c1cbb3173854
bc113574cfe6b8d0fb6fb13f43be261b
e125d2e359995c4f4b4d262244767385
98fdef18dfca95dfd75630d8f1d54322
a66027146c009b3fdbc29400c7c74346
df74b93df64240e86d8d721c03d7a8a3
08fc1d03db95a69cddcd173c1311e681
013f3ba3a61ba52ba00b53da40da8a2b
259809091a9d4144a307c6363e32d2ea
Python 脚本的 IoC
6e375185480ee26c2f31c04c36a8a0e8
c8ac97b9df5a2dc51be6a65e6d7bce6b
70b0f6ff8facca122591249f9770d7c9
fba8e41640a249f638de197ad615bd72
C&C URL 的 IoC:
5.42.65.114(之前链接到与 Amadey 恶意软件相关的 C&C 服务器)