Atomic macOS 竊取惡意軟體：活動的目的為何？

偽裝成熟悉事物的不斷演變的威脅

另一個網路安全隱患正在 macOS 世界中蔓延。 Atomic macOS Stealer（通常縮寫為 AMOS）被發現出現在一場新的惡意軟體活動中，該活動透過巧妙的社交工程手段針對Apple用戶。 AMOS 背後的攻擊者並非使用暴力破解或複雜的漏洞利用，而是依賴操縱用戶行為——具體來說，就是利用用戶對日常線上體驗的信任。

這次攻擊活動使用了一種名為「 ClickFix 」的欺騙性方法，這種方法會在網站上顯示類似於常規驗證碼的畫面。使用者若遵循此方法，則會在不知情的情況下啟動惡意程序，最終導致 AMOS 惡意軟體在其裝置上安裝。

惡意軟體背後的機制

這個騙局的核心是一個偽造的驗證碼頁面，冒充可信的網路平台。在這次攻擊活動中，攻擊者模仿了美國電信供應商Spectrum的品牌。造訪這些詐騙網站（例如panel-spectrum.net或spectrum-ticket.net ）的使用者會被要求透過看似典型的驗證碼驗證方式來驗證身分。

當 CAPTCHA 驗證失敗時（故意），系統會提示使用者使用「替代驗證」方法。這才是真正的危險。 Mac 用戶會看到複製並執行終端命令的指令，該命令看似無害，但實際上會啟動一個 Shell 腳本，要求輸入系統密碼，然後下載 AMOS 惡意軟體。

AMOS 安裝後的功能

一旦部署，Atomic macOS Stealer 惡意軟體就會開始收集敏感的使用者資訊。它使用內建的 macOS 命令來提取憑證、存取儲存的密碼，並可能繞過某些內建的安全機制。該腳本不僅具有侵入性，而且看似簡單，這凸顯了即使是極少量的程式碼在熟練的攻擊者手中也能發揮多麼有效的作用。

研究人員注意到，該惡意軟體包含用俄語撰寫的評論，顯示有俄語網路犯罪分子參與其中。這種國際來源與網路犯罪的普遍趨勢相符，即跨境犯罪分子瞄準廣泛使用且用戶信任度高的平台。

設計不佳，風險高

值得注意的是，支援此次攻擊活動的基礎設施遠非完善。分析家指出，惡意軟體交付頁面的邏輯和呈現方式有許多不一致之處。例如，不同平台的指令不符（例如，Linux 使用者執行 Windows 的 PowerShell 命令），以及向 Mac 和 Windows 使用者顯示的指令模糊不清或相互衝突。

這些缺陷表明安裝過程倉促，但這並不能減少潛在的損害。即使是笨拙的操作，如果讓使用者放鬆警惕，也可能造成重大損失。

ClickFix：一種日益壯大的分銷策略

ClickFix 並非這次 AMOS 攻擊活動所獨有的攻擊方式。它是一種更廣泛的惡意軟體傳播方法，因其適應性強、操作簡便而日益受到關注。透過偽造驗證碼系統或 Cookie 同意橫幅，攻擊者誘使用戶自行執行惡意腳本。這是一種心理伎倆：誘導用戶相信自己正在執行正常操作，而實際上，他們正在入侵自己的設備。

Darktrace 和 Cofense 等安全公司報告稱，歐洲、中東、非洲和北美地區此類攻擊數量急劇上升。其他使用 ClickFix 的攻擊活動傳播了各種各樣的惡意軟體，從 PureLogs 和 Lumma 等竊取資料的工具到NetSupport RAT等遠端存取木馬。

為什麼用戶會上當受騙

這種策略的成功部分源自於網路安全專家所說的「驗證疲勞」。現代用戶已經習慣了彈出視窗、驗證碼和常規提示，以至於他們經常不加思索地點擊。攻擊者利用這種習慣性行為，在看似標準的流程中植入陷阱。

Google reCAPTCHA 或 Cloudflare Turnstile 等服務提供的 CAPTCHA 頁面像素級完美複製，只會增加其可信度。在某些情況下，攻擊者甚至會將這些虛假驗證注入合法但已被入侵的網站，以進一步增加欺騙性。

這對 macOS 安全意味著什麼

多年來，與 Windows 用戶相比，macOS 用戶一直感覺相對安全，不會受到惡意軟體的侵害。像部署 AMOS 這樣的活動提醒我們，沒有任何系統能夠免疫，尤其是在最薄弱的環節是人類行為的情況下。使用社會工程學意味著攻擊者無需尋找作業系統中的漏洞——他們只需要用戶遵循指示。

其影響深遠。它強調了使用者安全意識、特定平台防禦措施的必要性，以及區分合法系統操作與欺騙性伎倆的持續挑戰。

最後的想法

雖然 macOS 確實提供了強大的內建保護措施，但只有使用者謹慎對待系統上運行的程序，這些保護措施才能有效發揮作用。使用者應避免在終端機中執行不熟悉的命令，仔細檢查 URL 的真實性，並對任何提示使用者以不尋常方式驗證身分的網站保持警惕。

隨著像 AMOS 這樣的惡意軟體活動不斷演變，保持知情是最好的防禦手段之一。意識不僅是一種力量，更是一種保護。