資安公司CloudSEK揭露一波針對macOS用戶的攻擊事件,駭客集團假冒美國電信業者Spectrum註冊相關網域,結合ClickFix網釣流程,散布新版Atomic macOS Stealer(AMOS)惡意程式。攻擊行動自5月下旬開始活躍,駭客設置與Spectrum相關的釣魚網站,誘使受害者下載並執行AMOS惡意程式,進而竊取憑證、瀏覽器快取、加密貨幣錢包及其他敏感資料。
研究人員指出,駭客註冊多個與Spectrum高度相似的假冒網域,誘導用戶進入釣魚網站。網站會引導用戶進行驗證操作,畫面設計模仿常見驗證介面,誘使點擊替代驗證按鈕,實則將攻擊腳本複製到剪貼簿,並要求用戶在終端機執行。
駭客會根據用戶作業系統,自動切換不同的攻擊腳本,本次攻擊主力鎖定macOS用戶,攻擊流程會透過bash指令下載惡意殼層腳本,該腳本會反覆提示用戶輸入系統密碼,並以macOS本地驗證指令確認密碼正確性。在取得有效密碼後,腳本將憑證儲存至暫存目錄,隨後自遠端伺服器下載惡意執行檔,利用sudo權限清除安全隔離標記,並將其設為可執行檔後執行。
研究人員提到,攻擊者在6月初設立偽造的Homebrew軟體庫,利用廣告釣魚誘導以Homebrew為開發工具的開發者誤入假網域,下載並執行惡意安裝腳本,造成AMOS變種程式植入系統。該假冒軟體庫會切換指向真正Homebrew安裝頁面,或攻擊者控制的伺服器,提升釣魚網站的真實性並增加追蹤困難度。
假冒網站原始碼存在俄語註解,且其命令與控制伺服器資訊與過往俄語地區駭客團體所用特徵相符,研究人員認為本次行動疑似由俄語地區駭客發動。部分攻擊網頁前端存在邏輯錯誤,例如針對不同作業系統顯示不一致的指令提示,或向macOS用戶顯示Windows快捷鍵操作,凸顯出攻擊基礎架構組裝較為倉促,但其社交工程誘騙與針對性設定仍有高安全風險。
熱門新聞
2024-08-05
2025-07-14
2025-07-14
2025-07-14
2025-07-11
2025-07-14
2025-07-11