余智晖

IT之家7月9日消息，科技媒体AppleInsider昨日（7月8日）发布博文，报道称针对苹果macOS系统的恶意软件AtomicmacOSStealer（AMOS）新增了后门持久化安装功能，进一步威胁Mac用户。

IT之家此前报道，AMOS恶意软件可以追溯到2023年4月，可以窃取访问钥匙串密码、系统信息、桌面和文档文件夹中的文件以及Mac的密码。

AMOS还可以渗透Chrome和Firefox等浏览器应用程序中，提取自动填充信息、密码、cookie、钱包和信用卡信息，并搜索Electrum、Binance和Atomic等加密钱包，以便于窃取相关资料和财产。

AMOS在2024年2月迎来新变种，大小不仅缩小到1.3MB左右，而且隐蔽性更强，破坏力更大。

AMOS新变种在保持隐蔽的情况下，使用Python脚本和AppleScript执行收集用户数据的操作。AppleScript功能与之前记录的一款名为RustDoor的恶意软件相似，两个版本的AppleScript都侧重于收集敏感文件。

而根据MacPaw安全部门Moonlock最新发现，AMOS目前增加了后门持久化安装功能，意味着在窃取用户数据和加密钱包之外，AMOS还可以通过后门，扩展到控制完整的Mac系统。

该安全部门分析新版AMOS的代码，前几个阶段并没有变化，不过在数据收集阶段后运行，新增运行后门操作，通过伪装成合法安装程序的trojanizedDMG文件，文件中包含了Mach-Obash包装脚本和一系列扩展，从而绕过Gatekeeper安全检查。

该安全部门还指出尽管后门安装提高了AMOS的能力，但似乎并没有达到其最大潜力，AMOS版本有很大的扩展潜力，这些功能很可能会随着时间推移而出现。