新型惡意攻擊瞄準macOS用戶 仿冒三大平臺植入竊密軟件

一場新型惡意攻擊正以macOS開發者為目標，通過仿冒Homebrew、LogMeIn與TradingView三大平臺，傳播AMOS、Odyssey等竊密惡意軟件。該攻擊采用“ClickFix”技術，誘騙受害者在終端中執行命令，從而自行感染惡意軟件。

此次攻擊者選擇的三個仿冒對象，均是蘋果用戶日常高頻使用的工具，具備高信任度，便于偽裝：

·Homebrew：熱門開源包管理系統，能簡化macOS與Linux系統的軟件安裝流程。此前威脅者就曾冒用其名義，通過惡意廣告傳播AMOS；

·LogMeIn：遠程訪問服務，常用于設備遠程控制與團隊協作；

·TradingView：金融圖表與市場分析平臺，廣泛服務于開發者及金融從業者。

威脅狩獵公司Hunt.io的研究人員發現，此次攻擊中，攻擊者搭建了超過85個仿冒上述三個平臺的域名，包括：

Hunt.io發現的一些域名

部分仿冒網站的流量通過谷歌廣告引導——攻擊者通過付費推廣，讓仿冒網站出現在谷歌搜索結果中，大幅提升曝光量與誘導成功率。

誘騙細節：終端命令藏陷阱，偽裝成“安全步驟”

研究人員指出，惡意網站會搭建“看似正規的虛假應用下載入口”，核心誘騙手段集中在終端命令上：

1. 直接引導執行命令：明確指示用戶復制curl命令到終端，偽裝成“快速安裝步驟”；

自制主題的ClickFix頁面

2. 隱蔽替換復制內容：以TradingView仿冒網站為例，惡意命令被包裝成“連接安全確認環節”。用戶點擊“復制”按鈕時，剪貼板中并非頁面顯示的Cloudflare驗證ID，而是一段經過base64編碼的惡意安裝命令。

感染流程：繞開系統防護，逐步完成竊密

用戶執行惡意命令后，攻擊會按固定步驟推進，最終實現數據竊取：

假TradingView頁面

1. 解碼腳本與下載載荷：命令先獲取并解碼“install.sh”腳本，再通過腳本下載惡意載荷二進制文件；

2. 繞過系統安全機制：腳本會刪除“隔離標記”、繞過macOS的Gatekeeper安全提示，確保惡意軟件能正常運行；

3. 規避分析環境：載荷（AMOS或Odyssey）執行前，會先檢查當前環境是否為虛擬機或安全分析系統，避免被檢測；

4. 獲取權限與隱藏行為：調用sudo命令獲取root權限，首次行動即收集主機硬件與內存信息；隨后通過“終止OneDrive更新進程”“與macOS XPC服務交互”，將惡意行為偽裝成合法進程；

5. 竊取數據并外傳：激活竊密模塊，盜取瀏覽器存儲數據、加密貨幣憑證等敏感信息，最終發送至命令與控制（C2）服務器。

兩款竊密軟件：功能成熟，覆蓋多類敏感數據

此次傳播的兩款惡意軟件均具備針對性竊密能力，特性如下：

·AMOS：2023年4月首次被記錄，以“惡意軟件即服務（MaaS）”模式運營，月訂閱費1000美元，可竊取感染設備上的各類數據。近期開發者還為其新增后門模塊，讓攻擊者獲得遠程持久訪問權限；

·Odyssey Stealer：由CYFIRMA研究人員于今年夏季首次披露，是基于Poseidon Stealer衍生的新型軟件，而Poseidon Stealer本身又源自AMOS。它主要盜取Chrome、Firefox、Safari瀏覽器的憑證與Cookie、上百種加密貨幣錢包擴展數據、鑰匙串（Keychain）信息及個人文件，最終以ZIP格式發送給攻擊者。

強烈建議用戶若未完全理解網上找到的終端命令用途，切勿將其粘貼執行——這是防范此類攻擊最直接有效的方式。

參考及來源：https://www.bleepingcomputer.com/news/security/google-ads-for-fake-homebrew-logmein-sites-push-infostealers/