安全专家对一种新的恶意软件发出警告，该恶意软件以MacOS设备为目标，窃取敏感信息，包括已保存的密码、信用卡号码和来自50多个加密货币浏览器扩展的数据。

这种被称为“Atomic”(也称为“AMOS”)的威胁正在臭名昭著的加密消息应用程序Telegram上出售，该应用程序以共享非法材料和内容的平台而闻名，每月收费1,000美元。

它具有多项功能，使威胁行为者更容易实施犯罪，例如帮助管理受害者的Web面板、MetaMask暴力破解程序、加密货币检查程序、dmg安装程序以及接收被盗日志的能力在电报上。

Trellix的研究人员(在新标签页中打开)和Cyble实验室(在新标签页中打开)一直在跟踪该恶意软件，发现最新版本发布时间为4月25日，表明开发和更新正在进行中。

此外，事实证明该工具难以检测，只有不到2%的防病毒软件将dmg文件标记为恶意文件。

威胁行为者可以通过网络钓鱼电子邮件、社交媒体帖子、恶意广告活动、恶意种子等常用方法让用户感染恶意软件。

当受害者打开dmg文件时，他们会收到一个虚假的提示，要求他们输入设备的主密码，恶意软件会窃取该密码以获取访问权限。然后它会尝试窃取保存在Apple专有密码管理器Keychain中的用户信息。

然后它会尝试从系统上安装的软件中窃取信息，例如Electrum、Binance、Exodus和Atomic等桌面加密货币钱包，以及50个其他钱包扩展，包括TrustWallet、ExodusWeb3Wallet、JaxxLiberty和币安链。

Web浏览器数据也被提取，例如保存在GoogleChrome、MozillaFirefox、MicrosoftEdge、Yandex、Opera和Vivaldi上的密码和支付卡。还搜索了系统信息，例如型号名称、序列号、硬件UUID、RAM大小和内核数。

Atomic还可以直接从桌面和文档文件夹等目录中窃取文件。但在这样做时，恶意软件必须向系统请求许可，并通知用户，因此这可能使他们有机会发现感染。

被盗数据被压缩成一个zip文件，并发送到威胁行为者的命令和控制服务器，有趣的是，该服务器与RaccoonStealer使用的IP地址相同，表明两者之间存在联系。

Apple设备通常不像Windows机器那样成为恶意软件的目标，但这种情况似乎开始发生变化，因为最近的一份报告称此类威胁正在上升。