自去年年初以来，针对macOS的信息窃取程序不断增加，且目前仍未显示出放缓的迹象。在过去的一年里，研究人员看到了Atomic Stealer、macOS MetaStealer、RealStealer等多个变种。

最近对macOS的XProtect（macOS的内置反恶意软件系统）签名数据库的更新表明，苹果方面已经意识到了这个问题，但在2024年伊始，已经有许多窃取程序家族成功逃避了已知的签名。

在这篇文章中，我们将详细介绍三种活跃的信息窃取程序，它们目前正在逃避许多静态签名检测引擎。文中提供了对每个威胁的高级概述以及相关指标，旨在帮助威胁猎人和防御者更好地应对相关威胁。

KeySteal：搭上AI的潮流

自2021年趋势科技首次注意到KeySteal以来，其内部结构已经发生了显著变化。大约一年前（2023年2月），苹果在v2166中为XProtect添加了一个签名，但它已经无法检测到当前的KeySteal版本，其中一些版本以名为“ChatGPT”的二进制形式分发。

【KeySteal最近的一个示例使用了“ChatGPT”这个名称作为其可执行文件】

最初，KeySteal是以 .pkg 格式分发的，带有一个名为“ReSignTool”的嵌入式macOS实用程序。ReSignTool是一个合法的开源应用程序，用于将应用程序签名和捆绑到 .ipa文件中，以便在iOS设备上分发。

恶意软件作者修改了代码来窃取Keychain信息，并在以下位置加载持久性组件:

/Library/LaunchDaemons/com.apple.googlechrome.plist

~/Library/LaunchAgents/com.apple.googleserver.plist

不过，最新一轮的KeySteal样本已经发生了很大的变化。它们不再利用ReSign工具，而是以“UnixProject”和“ChatGPT”等名称出现在多架构Mach-O二进制文件中。目前分发方式尚不清楚。由于未被XProtect检测到，一些最新版本的KeySteal在VirusTotal上的检测分数也很低。

【由于未被XProtect检测到，这些KeySteal样本在VirusTotal上的得分很低】

这些版本都是用Objective C编写的，但是负责恶意行为的主要方法已经从早期版本的JKEncrypt更改为最新版本的UUnixMain、KCenterModity和ICenterModity。

早期和当前的KeySteal迭代之间的一个共同点是硬编码的C2（如下所示），威胁猎人和静态检测可能仍可以此为契机进行检测。

usa[.]4jrb7xn8rxsn8o4lghk7lx6vnvnvazva[.]com

然而，威胁行为者不轮换C2地址是非常不寻常的，我们鼓励防御者开发更好的捕获和检测规则，以便在不可避免的变化之前检测到KeySteal。

研究人员观察到的KeySteal样本是用一个特别的代码签名签署的，其工件表明二进制文件是在Xcode（苹果的开发IDE）中构建的。

【KeySteal样本带有一个特别的代码签名】

Atomic InfoStealer：多种变体持续逃逸

2023年5月，SentinelOne的研究人员首次记录了一种新的基于Go的窃取程序Atomic Stealer。自此之后，该窃取程序也已发生了一些变化。值得注意的是，Atomic Stealer的多种变体都在同时迭代，这表明了完全不同的开发链，而不是一个正在更新的核心版本。

今年1月初，Malwarebytes最新报道称，在苹果XProtect更新v2178（2024年1月）后不久出现了一个混淆的Go版本Atomic Stealer。苹果的更新包含了MalwareBytes描述的版本的检测规则，规则名为SOMA_E。

然而，从那时起，研究人员已经陆续看到了XProtect目前尚未检测到的变化。

在撰写本文时，其中一些样本在VirusTotal上的检测分数也很低。

【由于未被XProtect监测到，最新版本的Atomic Stealer在VirusTotal上得分很低】

这个版本的Atomic Stealer是用c++编写的，并包含了防止受害者、分析人员或恶意软件沙箱与窃取者同时运行终端的逻辑。此外，它还会检查恶意软件是否正在虚拟机中运行。

【Atomic Stealer关闭终端】

与1月初的混淆版本不同，这些样本使用硬编码的清晰文本AppleScript，清楚地表明恶意软件的窃取逻辑。

【Atomic仍然大量使用硬编码的AppleScript】

最初的传播可能是通过Torrent或以游戏为重点的社交媒体平台，因为恶意软件继续以 .dmg 的形式出现，名称如“CrackInstaller”和“Cozy World Launcher”。

【一个Atomic Stealer指示受害者终止Gatekeeper控制】

CherryPie：被苹果捕获，但仍可逃避许多静态引擎检测

macOS CherryPie在v2176中被添加到XProtect中。AT&T实验室在2023年12月将同样的恶意软件描述为“JaskaGo”。

【CherryPie / Gary Stealer 09de6c864737a9999c0e39c1391be81420158877】

虽然苹果的XProtect规则对研究发现的许多新样本仍然有效，但VirusTotal引擎在某些情况下的表现并不理想。

下述样本（首次上传于2023年9月9日）连同其嵌入的恶意软件二进制文件，至今仍未在VirusTotal上检测到。

【VirusTotal引擎并未检测到macOS.CherryPie】

CherryPie是一个跨平台的Windows/macOS窃取程序，用Go语言编写，包含广泛的反分析和虚拟机检测逻辑。尽管如此，恶意软件的作者在恶意软件中嵌入了看似明显的字符串，以表明其目的（窃取程序）和恶意意图。

【CherryPie包含一些相当明显的硬编码字符串】

某些版本的CherryPie使用合法的开源Wails项目将恶意代码打包到应用程序包中。

研究观察到的CherryPie样本是用一个特别签名签名的。作为应用程序设置的一部分，它还使用“master-disable”参数调用macOS spctl实用程序。此代码用于禁用Gatekeeper，并通过sudo以管理员权限运行。

【macOS.CherryPie试图用管理员权限禁用Gatekeeper】

结语

macOS信息窃取程序（如KeySteal、Atomic InfoStealer和CherryPie）的持续流行和适应凸显了macOS企业用户面临的持续挑战。尽管苹果公司努力更新其XProtect特征数据库，但这些快速发展的恶意软件仍在持续逃逸。

鉴于这些挑战，采取全面的纵深防御方法至关重要。仅仅依靠基于签名的检测是不够的，因为威胁行为者有快速适应的手段和动机。除了具有原生macOS功能的现代EDR平台外，主动威胁搜索、增强的检测规则以及对不断发展的策略的认识，都可以帮助安全团队领先于针对macOS平台的威胁。

妥协指标

KeySteal

95d775b68f841f82521d516b67ccd4541b221d17

f75a06398811bfbcb46bad8ab8600f98df4b38d4

usa[.]4jrb7xn8rxsn8o4lghk7lx6vnvnvazva[.]com

Atomic InfoStealer

1b90ea41611cf41dbfb2b2912958ccca13421364

2387336aab3dd21597ad343f7a1dd5aab237f3ae

8119336341be98fd340644e039de1b8e39211254

973cab796a4ebcfb0f6e884025f6e57c1c98b901

b30b01d5743b1b9d96b84ef322469c487c6011c5

df3dec7cddca02e626ab20228f267ff6caf138ae

CherryPie

04cbfa61f2cb8daffd0b2fa58fd980b868f0f951

09de6c864737a9999c0e39c1391be81420158877

6a5b603119bf0679c7ce1007acf7815ff2267c9e

72dfb718d90e8316135912023ab933faf522e78a

85dd9a80feab6f47ebe08cb3725dea7e3727e58f

原文链接：

https://www.sentinelone.com/blog/the-many-faces-of-undetected-macos-infostealers-keysteal-atomic-cherrypie-continue-to-adapt/