号外号外!各位果粉,你们以为macOS就是绝对安全的避风港?图样图森破!最近“原子macOS窃取器”(Atomic macOS Stealer,简称AMOS)这玩意儿又升级了,直接进化成了带“后门”的流氓软件,这下可是真的要命了。不是我危言耸听,这玩意儿的恐怖程度,简直让我这个常年混迹数码圈的KOL都脊背发凉。
AMOS这货,从2023年冒头到现在,就一直是网络黑产的“香饽饽”,专门盯着macOS用户的数据和钱包。之前大家骂它,无非就是偷点数据、搞点小动作,恶心归恶心,好歹还有个底线。结果2024年的一个变种已经够让人恶心了,现在直接曝出2025年的版本,竟然TM自带后门!这不是光明正大地告诉你,我要抢你家钥匙,还要在你家留个地道随时进来?
根据MacPaw旗下网络安全公司Moonlock的最新报告,AMO的新版本已经被发现内嵌了“后门”功能。这意味着什么?这意味着黑客不仅能偷你的东西,还能随时远程操控你的Mac,把你家的“大门”彻底敞开。至于这个“后门”是AMOS原作者加的,还是哪个“愣头青”二开加进去的,现在还不清楚,但这后果,简直就是灾难级别的。Moonlock都说了,这是他们见过AMOS最危险的版本,没有之一!
在此之前,AMOS主要干的是把你的个人数据和加密货币钱包里的东西洗劫一空,然后打包发送到黑客的服务器上。现在加了后门,这危害范围可就指数级增长了,从单纯的数据泄露,直接升级到完全的系统控制。你敢信?
在macOS领域,这种带“后门”的恶意软件可是极其罕见的。据了解,这可能是全球范围内,继某些“北方邻居”之后,第二次针对Mac用户的带有后门的恶意软件大规模部署。这性质,一下就不一样了。
“原子macOS窃取器”现在到底怎么作恶?
从历史经验来看,AMOS这玩意儿通常都是伪装成某个看似无害的应用软件,然后藏在里面。它的传播途径也挺“接地气”的,要么是那种提供盗版或破解软件的垃圾网站,要么就是通过针对那些比特币大户的“鱼叉式网络钓鱼”攻击。
最骚的是,有的钓鱼攻击甚至伪装成一本正经的“招聘面试”。受害者被要求开启屏幕共享,然后输入系统密码,就这么简单,恶意软件就开始“为所欲为”了。
一旦安装并运行,AMOS立马就开始搜刮你的密码和加密货币助记词。更恶心的是,它还会悄悄地安装一个“永久性后门”,随时等待远程指令。
对这个恶意软件的可执行文件进行一番深度分析后发现,它的早期运行阶段几乎没变,但是那些新增的“后门”功能,都是在完成数据收集之后才开始运行的。这说明它先要偷你的东西,然后才给你家留个地雷。
它会伪装成一个看似合法的DMG安装包,里面藏着Mach-O bash脚本和一堆扩展。这套组合拳就是用来通过“社会工程学”手段绕过macOS的Gatekeeper安全机制。
AppleScript也被它用来设置执行权限和运行恶意二进制文件,实现持久化控制的方式也挺“复古”的,就是通过launchctl下的PLIST文件,这在黑客圈子里算是挺常见的招数了。
虽然“后门”的加入确实增强了AMOS的能力,但它似乎还没完全发挥出潜力。一份报告指出,与那些“北方邻居”的高级后门相比,AMOS的这个版本还有很大的“扩展空间”,未来肯定会变得更强。
换句话说,AMOS的开发者们“刚刚踏入市场的新领域”,未来可能还会有更骚的操作。
如何防范“原子macOS窃取器”?
总的来说,保持良好的“数字卫生习惯”和“基本常识”就能帮大多数Mac用户避免掉进这个坑。首先,别从那些来源不明的网站下载东西,更别碰盗版软件,这是最基本的防线。
如果你只通过Mac App Store下载软件,那几乎就杜绝了安装这种恶意软件的风险,因为苹果会对App Store里的应用进行严格审核。如果实在要从别的地方下载,那就得瞪大眼睛了,任何要求你绕过Gatekeeper或者签名检查的软件,都得警惕起来。
另外,提高对“钓鱼攻击”的警惕性也非常重要,特别是现在它居然开始伪装成“假面试”了。所以,下次有人跟你聊屏幕共享、让你输密码,可得多长个心眼。毕竟,你的数据和安全,才是最重要的。
