臭名昭著的 Atomic macOS Stealer(AMOS,原子級 macOS 竊取程序)惡意軟件近期完成危險升級,全球 Mac 用戶面臨更嚴峻威脅。這款與俄羅斯有關聯的竊密程序首次植入后門模塊,使攻擊者能維持對受感染系統的持久訪問、執行遠程命令,并長期控制受害者設備。
據 MacPaw 公司安全部門 Moonlock 的網絡安全研究人員披露,這是繼朝鮮黑客組織之后,全球范圍內第二起針對 macOS 用戶的大規模后門攻擊事件。該惡意軟件已滲透 120 多個國家,其中美國、法國、意大利、英國和加拿大受影響最為嚴重。搭載后門的新版 AMOS 可能導致全球數千臺 Mac 設備完全淪陷。
技術升級與攻擊路徑分析
升級版 AMOS 主要通過兩種方式傳播:提供破解/盜版軟件的網站,以及針對加密貨幣持有者等高價值目標的魚叉式釣魚攻擊。釣魚攻擊常偽裝成工作面試,誘騙藝術家和自由職業者提供系統密碼以啟用"面試所需"的屏幕共享功能。
惡意軟件執行后,通過復雜的組件鏈實現持久化:
- 特制 DMG 文件
- bash 包裝腳本
- 用于繞過 macOS Gatekeeper 防護的終端別名
后門模塊通過 IP 地址 45.94.47.145 和 45.94.47.147 與命令控制服務器保持通信,每 60 秒發送 HTTP POST 請求獲取新指令。
AMOS 組織效仿了朝鮮黑客的成熟攻擊模式,但不同于朝鮮組織專注快速竊取加密貨幣的特性,其后門設計更強調長期潛伏。該惡意軟件創建名為 "com.finder.helper" 的 LaunchDaemon 確保系統重啟后仍能運行,并通過 ".helper" 和 ".agent" 隱藏文件實施多層隱蔽操作。
防護建議
安全專家建議 Mac 用戶采取以下措施:
- 安裝專業反惡意軟件
- 警惕社交工程手段
- 減少數字足跡以降低被攻擊風險
網絡安全社區正持續監控 AMOS 活動,研究人員共享威脅情報以協助全球安全團隊更新防御策略。2024 年以來,AMOS 獨特二進制樣本數量激增,隨著惡意軟件即服務(MaaS)產業的發展,預計將出現更多具備更強規避檢測和系統滲透能力的新變種。
)
 v1.27.2 便攜版)
