Atomic macOS 竊取惡意軟體
網路安全研究人員發現了一種新的惡意軟體活動,該活動利用稱為 ClickFix 的欺騙性社會工程策略來傳播 Atomic macOS Stealer (AMOS),這是一種旨在破壞 Apple macOS 系統的資訊竊取惡意軟體。
目錄
域名搶註策略:冒充 Spectrum
這次攻擊活動的幕後攻擊者使用模仿美國電信供應商Spectrum的網域搶注,並利用panel-spectrum.net和spectrum-ticket.net等詐欺網站來誘騙毫無戒心的用戶。這些看似合法的網域經過精心設計,旨在提高用戶信任度和互動的可能性。
惡意 Shell 腳本:隱藏的有效載荷
任何造訪這些欺騙性網站的 macOS 使用者都會收到一個惡意 Shell 腳本。該腳本會提示受害者輸入系統密碼,然後竊取憑證,繞過 macOS 安全控制,並安裝 AMOS 惡意軟體的變種以供進一步利用。該腳本使用原生 macOS 命令,以最大限度地提高其有效性,同時保持低調。
起源的痕跡:俄文程式碼註釋
有證據表明,這次攻擊活動的幕後黑手可能是俄語網路犯罪分子。研究人員在惡意軟體原始碼中發現了俄語註釋,這暗示了威脅行為者可能來自不同的地理和語言背景。
欺騙性驗證碼:ClickFix 誘餌
攻擊始於一條虛假的 hCaptcha 驗證訊息,該訊息聲稱正在檢查用戶的連線安全性。點擊「我是人類」複選框後,用戶會收到一條虛假的錯誤訊息:「CAPTCHA 驗證失敗」。然後,系統會提示使用者進行「替代驗證」。
此操作會將惡意命令複製到剪貼簿,並根據使用者的作業系統顯示指令。在 macOS 上,受害者會被引導在終端應用中貼上並執行該命令,從而啟動 AMOS 的下載。
執行不力:程式碼中的線索
儘管該攻擊活動意圖危險,但研究人員注意到攻擊基礎設施存在不一致之處。在投放頁面中觀察到邏輯不通和程式設計錯誤,例如:
- 正在為 Linux 使用者複製 PowerShell 命令。
- 向 Windows 和 Mac 使用者顯示 Windows 特定的說明。
- 顯示的作業系統和指令之間的前端不符。
ClickFix 的崛起:不斷擴大的威脅載體
這項發展是過去一年中多個惡意軟體活動中使用 ClickFix 策略日益增長的趨勢的一部分。威脅行為者始終使用類似的技術、工具和程序 (TTP) 進行初步訪問,最常見的是:
- 魚叉式網路釣魚
- 偷渡式下載
- 透過 GitHub 等可信任平台共享的惡意鏈接
虛假修復,真實損害:社會工程學的惡劣影響
受害者被誘騙,以為自己正在解決良性的技術問題。實際上,他們正在執行安裝惡意軟體的有害命令。這種形式的社會工程學非常有效地繞過了使用者意識和標準安全機制。
影響力日益擴大:全球傳播和多樣化有效載荷
ClickFix 攻擊活動已在美國、歐洲、中東和非洲 (EMEA) 的客戶環境中被偵測到。這些攻擊日益多樣化,不僅包含 AMOS 等資料竊取程序,還包含木馬和勒索軟體。雖然負載可能有所不同,但核心方法始終如一:操縱使用者行為以破壞安全機制。
結論:需要保持警惕
這項活動凸顯了持續警覺、使用者教育和強大安全控制的重要性。隨著像 ClickFix 這樣的社會工程手段不斷發展,組織和個人都必須保持警惕,並做好準備,以識別和阻止此類欺騙性威脅。
