Atomic macOS 窃取恶意软件：该活动的目的是什么？

伪装成熟悉事物的不断演变的威胁

另一个网络安全隐患正在 macOS 世界中蔓延。Atomic macOS Stealer（通常缩写为 AMOS）被发现出现在一场新的恶意软件活动中，该活动通过巧妙的社交工程手段针对Apple用户。AMOS 背后的攻击者并非使用暴力破解或复杂的漏洞利用，而是依赖于操纵用户行为——具体来说，就是利用用户对日常在线体验的信任。

此次攻击活动使用了一种名为“ ClickFix ”的欺骗性方法，这种方法会在网站上显示类似于常规验证码的画面。用户若遵循这一方法，则会在不知情的情况下启动恶意程序，最终导致 AMOS 恶意软件在其设备上安装。

恶意软件背后的机制

该骗局的核心是一个伪造的验证码页面，冒充可信的网络平台。在此次攻击活动中，攻击者模仿了美国电信供应商Spectrum的品牌。访问这些欺诈网站（例如panel-spectrum.net或spectrum-ticket.net ）的用户会被要求通过看似典型的验证码验证方式来验证身份。

当 CAPTCHA 验证失败时（故意），系统会提示用户使用“替代验证”方法。这才是真正的危险所在。Mac 用户会看到复制并运行终端命令的指令，该命令看似无害，但实际上会启动一个 Shell 脚本，要求输入系统密码，然后下载 AMOS 恶意软件。

AMOS 安装后的功能

一旦部署，Atomic macOS Stealer 恶意软件就会开始收集敏感的用户信息。它使用内置的 macOS 命令来提取凭证、访问存储的密码，并可能绕过某些内置的安全机制。该脚本不仅具有侵入性，而且看似简单，这凸显了即使是极少量的代码在熟练的攻击者手中也能发挥多么有效的作用。

研究人员注意到，该恶意软件包含用俄语撰写的评论，表明有俄语网络犯罪分子参与其中。这种国际来源与网络犯罪的普遍趋势相符，即跨境犯罪分子瞄准广泛使用且用户信任度高的平台。

设计不佳，风险高

值得注意的是，支持此次攻击活动的基础设施远非完善。分析人士指出，恶意软件交付页面的逻辑和呈现方式存在诸多不一致之处。例如，不同平台的指令不匹配（例如，Linux 用户运行 Windows 的 PowerShell 命令），以及向 Mac 和 Windows 用户显示的指令模糊不清或相互冲突。

这些缺陷表明安装过程仓促，但这并不能减少潜在的损害。即使是笨拙的操作，如果让用户放松警惕，也可能造成重大损失。

ClickFix：一种日益壮大的分销策略

ClickFix 并非此次 AMOS 攻击活动所独有的攻击方式。它是一种更广泛的恶意软件传播方法，因其适应性强、操作简便而日益受到关注。通过伪造验证码系统或 Cookie 同意横幅，攻击者诱使用户自行运行恶意脚本。这是一种心理伎俩：诱导用户相信自己正在执行正常操作，而实际上，他们正在入侵自己的设备。

Darktrace 和 Cofense 等安全公司报告称，欧洲、中东、非洲和北美地区此类攻击数量急剧上升。其他使用 ClickFix 的攻击活动传播了各种各样的恶意软件，从 PureLogs 和 Lumma 等窃取数据的工具到NetSupport RAT等远程访问木马。

为什么用户会上当受骗

这种策略的成功部分源于网络安全专家所说的“验证疲劳”。现代用户已经习惯了弹出窗口、验证码和常规提示，以至于他们经常不加思索地点击。攻击者利用这种习惯性行为，在看似标准的流程中植入陷阱。

Google reCAPTCHA 或 Cloudflare Turnstile 等服务提供的 CAPTCHA 页面像素级完美复制，只会增加其可信度。在某些情况下，攻击者甚至会将这些虚假验证注入合法但已被入侵的网站，进一步增加欺骗性。

这对 macOS 安全意味着什么

多年来，与 Windows 用户相比，macOS 用户一直感觉相对安全，不会受到恶意软件的侵害。像部署 AMOS 这样的活动提醒我们，没有任何系统能够免疫，尤其是在最薄弱的环节是人类行为的情况下。使用社会工程学意味着攻击者无需寻找操作系统中的漏洞——他们只需要用户遵循指示即可。

其影响深远。它强调了用户安全意识、特定平台防御措施的必要性，以及区分合法系统操作与欺骗性伎俩的持续挑战。

最后的想法

虽然 macOS 确实提供了强大的内置保护措施，但只有用户谨慎对待系统上运行的程序，这些保护措施才能有效发挥作用。用户应避免在终端中运行不熟悉的命令，仔细检查 URL 的真实性，并对任何提示用户以不寻常方式验证身份的网站保持警惕。

随着像 AMOS 这样的恶意软件活动不断演变，保持知情是最好的防御手段之一。意识不仅是一种力量，更是一种保护。