专门锁定macOS用户的窃资软件Atomic Stealer（AMOS Stealer）横行多年，不仅相关攻击行动接连传出，更衍生出其他变种Odyssey Stealer、Poseidon Stealer，最近其中一起事故，是骇客冒充美国电信业者Spectrum发动攻击，如今有资安业者指出，此窃资软件的开发团队打造了更加危险的版本，能让攻击者进一步控制受害电脑。

最近有一份调查报告指出，经营Atomic Stealer的俄罗斯骇客组织，过往主要集中心力的部分，在于透过浏览器的加密货币延伸套件、冷钱包下手，目的是搜括帐密资料，但现在资安业者Moonlock发现，他们在新版Atomic Stealer加入了后门的功能，也就是说，攻击者可藉此窃资软件远端执行任意命令、得到完整的存取权限，并在受害电脑重开机后持续相关活动。

除了后门的部分，Moonlock提及Atomic Stealer具备其他新功能，如键盘侧录工具（keylogger），近期攻击目标也有异动：一改过往提供破解软件作为诱饵的策略，而是试图寻找持有加密货币资产的使用者下手，但Moonlock并未说明骇客如何找到攻击目标。

将窃资软件与后门程序结合的做法，Atomic Stealer并非首例，北韩骇客在锁定macOS用户的攻击行动里，就积极结合这两种恶意软件，不过他们的目的并非为了长期在受害电脑活动，而是一口气搜刮加密货币及受害者的敏感资料。

究竟骇客如何散布Atomic Stealer？主要有两种媒介，一种是提供破解软件下载，另一种则是专门针对拥有大量加密货币的高价值目标。骇客通常会藉由工作面试流程寻找自由工作者、艺术家下手，并要求使用者输入密码，以便分享受害电脑的萤幕内容。一旦得逞，攻击者就有机会挖掘密码、通关密语（Seed Phrase）等机敏资料，并植入后门模组，以便等待接收远端发送的命令。

当Mac电脑感染新版Atomic Stealer之后，初期与先前版本的状况差不多，但在窃取资料完成后，出现额外的活动。骇客以木马化的DMG文件模仿安装程序，其中通常内含名为.Installer的Mach-O文件，以及bash指令码打造的延伸模组。Mach-O文件具备窃资软件的功能，而bash指令码则内嵌了AppleScript，用途是透过osascript对.Installer下手，複製到暂存资料夹清除文件属性，并设置执行权限。接着，骇客也运用名为.agent的指令码、.helper二进位文件，以便持续于受害电脑活动。