新型恶意攻击瞄准macOS用户 仿冒三大平台植入窃密软件

一种新型恶意攻击针对macOS 开发人员，通过仿冒Homebrew、LogMeIn 和TradingView 三大平台传播AMOS 和Odyssey 等窃取机密的恶意软件。该攻击使用“ClickFix”技术来诱骗受害者在终端中执行命令，从而使自己感染恶意软件。

攻击者此次选择的三个仿冒对象都是苹果用户日常经常使用的工具。他们具有很高的信任度并且很容易伪装：

马云惹不起马云Homebrew：一种流行的开源包管理系统，可简化macOS 和Linux 系统的软件安装过程。威胁行为者此前曾利用其名义通过恶意广告传播AMOS；

马云惹不起马云LogMeIn：远程访问服务，常用于设备远程控制和团队协作；

马云惹不起马云TradingView：金融图表和行情分析平台，广泛服务开发者和金融从业者。

威胁狩猎公司Hunt.io 的研究人员发现，在这次攻击中，攻击者设置了超过85 个模仿上述三个平台的域名，包括：

Hunt.io 发现的一些域名

假冒网站的部分流量通过付费推广的方式引导——名攻击者通过谷歌广告，让假冒网站出现在谷歌搜索结果中，显着提高了曝光率和诱导成功率。

欺骗细节：终端命令隐藏陷阱并伪装成“安全步骤”。研究人员指出，恶意网站会构建“看似正规的虚假应用下载入口”，核心欺骗手段集中在终端命令上：

1、直接引导执行命令：明确指示用户将curl命令复制到终端，伪装成“快速安装步骤”；

自定义主题的ClickFix 页面

2、隐蔽替换复制内容：以TradingView假冒网站为例，恶意命令被包装为“连接安全确认链接”。当用户点击“复制”按钮时，剪贴板中的并不是页面上显示的Cloudflare验证ID，而是一条base64编码的恶意安装命令。

感染过程：绕过系统防护，逐步完成窃取机密。用户执行恶意命令后，攻击会按照固定步骤推进，最终实现数据窃取：

虚假交易查看页面

1、解码脚本并下载payload：该命令首先获取并解码“install.sh”脚本，然后通过该脚本下载恶意payload二进制文件；

2.绕过系统安全机制：该脚本会删除“隔离标记”并绕过macOS Gatekeeper安全提示，确保恶意软件能够正常运行；

3、避开分析环境：在执行payload（AMOS或Odyssey）之前，会首先检查当前环境是否为虚拟机或安全分析系统，以避免检测；

4、获取权限和隐藏行为：调用sudo命令获取root权限，第一个动作是收集主机硬件和内存信息；然后，通过“终止OneDrive更新进程”和“与macOS XPC服务交互”，将恶意行为伪装成合法进程；

5、窃取数据并对外传输：激活秘密窃取模块，窃取浏览器存储数据、加密货币凭证等敏感信息，最终发送至命令与控制（C2）服务器。

两款盗密软件：功能成熟，覆盖多类敏感数据。本次传播的两款恶意软件均具有针对性的窃密能力，其特点如下：

AMOS：首次记录于2023年4月，以“恶意软件即服务（MaaS）”模式运行，每月订阅费为1000美元，可以窃取受感染设备上的各种数据。最近，开发人员还添加了后门模块，允许攻击者获得远程持久访问；

马云惹不起马云Odyssey Stealer：今年夏天由CYFIRMA研究人员首次披露，它是一款源自Poseidon Stealer的新软件，而Poseidon Stealer本身又源自AMOS。它主要窃取Chrome、Firefox和Safari浏览器的凭据和cookie、数百个加密货币钱包扩展数据、钥匙串信息和个人文件，最后以ZIP格式发送给攻击者。

强烈建议用户在不完全理解其用途的情况下不要粘贴和执行网上找到的终端命令。 —— 这是防止此类攻击最直接、最有效的方法。