鎖定蘋果電腦而來的竊資軟體攻擊行動,最近兩到三個月有變多的現象,其中一款被稱做AMOS Stealer或Atomic Stealer的惡意程式,在今年6月底出現變種Odyssey Stealer之後,如今有資安業者看到新的變種惡意程式出沒,並提出警告。
在今年6月至8月,資安業者CrowdStrike偵測並攔截駭客組織Cookie Spider的攻擊行動,這些駭客打造名為Shamos的AMOS Stealer變種,並透過惡意軟體租用服務(Malware-as-a-Service)尋找打手,藉由ClickFix網釣手法入侵超過300個企業組織,試圖挖掘敏感資訊及加密貨幣資產。
附帶一提的是,上述手段能繞過macOS內建的防護機制Gatekeeper,而能將Mach-O執行檔部署到受害電腦,從而讓駭客能竊取瀏覽器、鑰匙圈存取(Keychain)、備忘錄存放的帳密資料,並洗劫加密貨幣錢包。
駭客鎖定上網搜尋、試圖解決電腦問題的Mac用戶,透過惡意廣告將他們帶往冒牌的macOS用戶技術自救網站,引誘受害者依照網頁指示.執行僅有一行的惡意安裝命令。受害者遍及美國、英國、日本、中國、哥倫比亞、加拿大、墨西哥、義大利等,但俄羅斯並未出現受害者。CrowdStrike認為,原因很有可能是網路犯罪論壇禁止惡意程式攻擊俄羅斯及獨立國協(CIS)用戶。
但除了透過冒牌macOS用戶技術自救網站散布竊資軟體,駭客也以免費提供影片編輯軟體、CAD工具、效能監控工具、人工智慧軟體、聽寫軟體為幌子,要使用者依照指示下載、安裝,若是使用者照做,電腦就會被植入Shamos。
一旦使用者依照指示輸入命令,電腦就會下載Shamos的Mach-O執行檔到暫存資料夾,並透過公用程式xattr移除特定檔案屬性,而有機會繞過Gatekeeper的檢查。接下來攻擊者會使用系統公用程式chmod,替執行檔指派特定權限,然後執行竊資軟體。
在Shamos啟動時,會檢查是否在沙箱環境,然後利用AppleScript命令進行偵察及資料收集。值得留意的是,攻擊者還能透過Shamos在受害電腦下載其他惡意程式,並指派能夠執行的權限。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
