IT之家 7 月 9 日消息,科技媒体 AppleInsider 昨日(7 月 8 日)发布博文,报道称针对苹果 macOS 系统的恶意软件 Atomic macOS Stealer(AMOS)新增了后门持久化安装功能,进一步威胁 Mac 用户。
IT之家此前报道,AMOS 恶意软件可以追溯到 2023 年 4 月,可以窃取访问钥匙串密码、系统信息、桌面和文档文件夹中的文件以及 Mac 的密码。
AMOS 还可以渗透 Chrome 和 Firefox 等浏览器应用程序中,提取自动填充信息、密码、cookie、钱包和信用卡信息,并搜索 Electrum、Binance 和 Atomic 等加密钱包,以便于窃取相关资料和财产。
AMOS 在 2024 年 2 月迎来新变种,大小不仅缩小到 1.3MB 左右,而且隐蔽性更强,破坏力更大。
AMOS 新变种在保持隐蔽的情况下,使用 Python 脚本和 Apple script 执行收集用户数据的操作。Apple script 功能与之前记录的一款名为 RustDoor 的恶意软件相似,两个版本的 Apple script 都侧重于收集敏感文件。
而根据 MacPaw 安全部门 Moonlock 最新发现,AMOS 目前增加了后门持久化安装功能,意味着在窃取用户数据和加密钱包之外,AMOS 还可以通过后门,扩展到控制完整的 Mac 系统。
该安全部门分析新版 AMOS 的代码,前几个阶段并没有变化,不过在数据收集阶段后运行,新增运行后门操作,通过伪装成合法安装程序的 trojanized DMG 文件,文件中包含了 MachO bash 包装脚本和一系列扩展,从而绕过 Gatekeeper 安全检查。
该安全部门还指出尽管后门安装提高了 AMOS 的能力,但似乎并没有达到其最大潜力,AMOS 版本有很大的扩展潜力,这些功能很可能会随着时间推移而出现。