• 發布單位:TWCERT/CC
• 更新日期:2023-05-02
• 點閱次數:6496

資安廠商 Trellix 和 Cyble Labs 旗下的資安研究人員，近日發現一個全新 macOS 惡意軟體，稱為 Atomic；該惡意軟體的開發者透過 Telegram 「廉價出租」，供有意使用的駭侵者透過網路散布，以竊取受害者 Mac 電腦內 50 種以上加密貨幣錢包內的數位資產。

據研究報告指出，Atomic 是一種以 Go 開發的 64 位元 macOS 惡意軟體，內含一個易於使用的 web 管理介面，以便於駭侵者「管理」受害者；而其軟體本身也包括 MetaMask 加密錢包的暴力試誤功能、加密貨幣檢查器、DMG 安裝程式介面，並接收放在 Telegram 頻道中的竊取記錄。

研究人員發現 Atomic 的最近版本為 2023 年 4 月 25 日，改版相當活躍，推論這是一個仍在研究開發中的持續性駭侵計畫；該惡意 DMG 檔案也幾乎無法被 VirusTotal 偵測出來；研究人員以 59 種不同的防毒防駭引擎測試，只有一種能夠偵測到 Atomic 的存在。

使用者一旦感染 Atomic，該軟體會先顯示一個假的互動視窗，以騙得使用者輸入的 macOS 系統密碼，取得系統密碼後，Atomic 即可提升自身的執行權限，以進行進一步的駭侵攻擊活動。接著 Atomic 會試圖讀取 macOS 系統中用以儲存各種密碼的 KeyChain Access，以取得各種機敏資訊，包括如 Electrum、Binance、Exodus、Atomic 等軟體加密貨幣錢包密碼，以及如 MetaMask、Trust Wallet、Jaxx Liberty、Binance Chain 等瀏覽器擴充套件形態的加密貨幣錢包密碼，以及如 Chrome、Firefox、Edge 等瀏覽器本身儲存工的密碼、信用卡資訊，以及電腦本身的各種系統資訊。

建議不論是何種作業系統使用者，要下載任何軟體，均應透過合法可信賴的管道下載，勿於即時通訊、網路論壇、內容農場等危險來源下載安裝任何軟體。