Bitdefender研究人员称AMOS Stealer的新变种瞄准Safari Cookie和加密钱包

新的Atomic变体使用Python和Apple Script代码来定位浏览器和系统文件，获取用户帐户密码，并识别沙箱或模拟器执行。

Bitdefender研究人员发现了AMOS Stealer（或Atomic Stealer）的新变种​​，这是去年macOS用户最普遍的威胁之一。据Bitdefender称，新变种是在重新审视旧的或新的恶意软件样本以提高macOS网络安全产品的检测能力时发现的。

当研究人员分离出几个可疑的macOS磁盘映像文件时，这些文件的大小出奇地小(1.3MB)，他们对AMOS Stealer的新变种的出现产生了怀疑。

新变种结合了众多恶意软件家族的功能，包括信息窃取程序、键盘记录程序和加密货币挖掘工具，使其能够窃取敏感数据，而其先进的隐秘性使用户更难识别/删除感染。

进一步的探索表明，这个变体与RustDoor的第二个变体有相似之处。研究人员指出：“两者似乎都专注于从受害者的计算机中收集敏感文件，当前的版本是RustDoor使用的脚本的更开发版本。”

然而，新的变体有额外的功能。它收集Cookies.binarycookies文件（该文件存储Safari浏览器cookie），从特定位置获取具有目标扩展名的文件，并使用system_profiler实用程序收集有关受感染计算机的信息。

攻击者的目标是获取与硬件相关的详细信息、操作系统版本以及连接的显示器和显卡。他们将敏感信息添加到档案中，包括密码、加密密钥和证书，表明他们对加密货币平台越来越感兴趣。

该版本采用了一种将Python与Apple脚本相结合的不寻常技术，其中filegrabber()函数使用osascript -e命令执行一大块Apple脚本。DMG文件包含适用于Intel和ARM架构的FAT二进制文件和Mach-O文件，威胁行为者使用它们来窃取数据。

正如研究人员在博客文章中指出的那样，打开后，Crack Installer应用程序会提示用户打开该文件。Python脚本从多个来源收集敏感数据，包括加密钱包扩展、浏览器数据和用户帐户密码。

Chromium ()函数从基于Chromium的目标浏览器收集文件，包括Web数据、登录数据和Cookie。它还针对加密货币浏览器扩展和Mach-O二进制文件。parseFF()函数以Firefox为目标并收集与所有配置文件关联的文件。

此外，该脚本还针对已安装的加密钱包，例如Electrum、Coinomi、Exodus或Atomic。收集到的数据存储在ZIP存档中，并使用POST请求发送到C2服务器。档案结构由C2服务器确认。

目前该变种基本上未被发现。Bitdefender发布了妥协指标来帮助组织和从业者检测和减轻这种威胁。