Atomic macOS 窃取恶意软件
网络安全研究人员发现了一种新的恶意软件活动,该活动利用称为 ClickFix 的欺骗性社会工程策略来传播 Atomic macOS Stealer (AMOS),这是一种旨在破坏 Apple macOS 系统的信息窃取恶意软件。
目录
域名抢注策略:冒充 Spectrum
此次攻击活动的幕后攻击者使用模仿美国电信供应商Spectrum的域名抢注,并利用panel-spectrum.net和spectrum-ticket.net等欺诈网站来诱骗毫无戒心的用户。这些看似合法的域名经过精心设计,旨在提高用户信任度和互动的可能性。
恶意 Shell 脚本:隐藏的有效载荷
任何访问这些欺骗性网站的 macOS 用户都会收到一个恶意 Shell 脚本。该脚本会提示受害者输入系统密码,然后窃取凭证,绕过 macOS 安全控制,并安装 AMOS 恶意软件的变种以供进一步利用。该脚本使用原生 macOS 命令,以最大限度地提高其有效性,同时保持低调。
起源的痕迹:俄语代码注释
有证据表明,此次攻击活动的幕后黑手可能是俄语网络犯罪分子。研究人员在恶意软件源代码中发现了俄语注释,这暗示了威胁行为者可能来自不同的地理和语言背景。
欺骗性验证码:ClickFix 诱饵
攻击始于一条虚假的 hCaptcha 验证消息,该消息声称正在检查用户的连接安全性。点击“我是人类”复选框后,用户会收到一条虚假的错误消息:“CAPTCHA 验证失败”。然后,系统会提示用户进行“替代验证”。
此操作会将恶意命令复制到剪贴板,并根据用户的操作系统显示指令。在 macOS 上,受害者会被引导在终端应用中粘贴并运行该命令,从而启动 AMOS 的下载。
执行不力:代码中的线索
尽管该攻击活动意图危险,但研究人员注意到攻击基础设施存在不一致之处。在投放页面中观察到逻辑不通和编程错误,例如:
- 正在为 Linux 用户复制 PowerShell 命令。
- 向 Windows 和 Mac 用户显示 Windows 特定的说明。
- 显示的操作系统和指令之间的前端不匹配。
ClickFix 的崛起:不断扩大的威胁载体
这一发展是过去一年中多个恶意软件活动中使用 ClickFix 策略日益增长的趋势的一部分。威胁行为者始终使用类似的技术、工具和程序 (TTP) 进行初始访问,最常见的是:
- 鱼叉式网络钓鱼
- 偷渡式下载
- 通过 GitHub 等受信任平台共享的恶意链接
虚假修复,真实损害:社会工程学的恶劣影响
受害者被诱骗,以为自己正在解决一个良性的技术问题。实际上,他们正在执行安装恶意软件的有害命令。这种形式的社会工程学非常有效地绕过了用户意识和标准安全机制。
影响力日益扩大:全球传播和多样化有效载荷
ClickFix 攻击活动已在美国、欧洲、中东和非洲 (EMEA) 的客户环境中被检测到。这些攻击日益多样化,不仅包含 AMOS 等数据窃取程序,还包含木马和勒索软件。虽然负载可能有所不同,但核心方法始终如一:操纵用户行为以破坏安全机制。
结论:需要保持警惕
此次活动凸显了持续警惕、用户教育和强大安全控制的重要性。随着像 ClickFix 这样的社会工程学手段不断发展,组织和个人都必须保持警惕,并做好准备,以识别和阻止此类欺骗性威胁。
