一場(chǎng)新型惡意攻擊正以macOS開發(fā)者為目標(biāo)，通過仿冒Homebrew、LogMeIn與TradingView三大平臺(tái)，傳播AMOS、Odyssey等竊密惡意軟件。該攻擊采用“ClickFix”技術(shù)，誘騙受害者在終端中執(zhí)行命令，從而自行感染惡意軟件。

此次攻擊者選擇的三個(gè)仿冒對(duì)象，均是蘋果用戶日常高頻使用的工具，具備高信任度，便于偽裝：

·Homebrew：熱門開源包管理系統(tǒng)，能簡(jiǎn)化macOS與Linux系統(tǒng)的軟件安裝流程。此前威脅者就曾冒用其名義，通過惡意廣告?zhèn)鞑MOS；

·LogMeIn：遠(yuǎn)程訪問服務(wù)，常用于設(shè)備遠(yuǎn)程控制與團(tuán)隊(duì)協(xié)作；

·TradingView：金融圖表與市場(chǎng)分析平臺(tái)，廣泛服務(wù)于開發(fā)者及金融從業(yè)者。

威脅狩獵公司Hunt.io的研究人員發(fā)現(xiàn)，此次攻擊中，攻擊者搭建了超過85個(gè)仿冒上述三個(gè)平臺(tái)的域名，包括：

Hunt.io發(fā)現(xiàn)的一些域名

部分仿冒網(wǎng)站的流量通過谷歌廣告引導(dǎo)——攻擊者通過付費(fèi)推廣，讓仿冒網(wǎng)站出現(xiàn)在谷歌搜索結(jié)果中，大幅提升曝光量與誘導(dǎo)成功率。

誘騙細(xì)節(jié)：終端命令藏陷阱，偽裝成“安全步驟”

研究人員指出，惡意網(wǎng)站會(huì)搭建“看似正規(guī)的虛假應(yīng)用下載入口”，核心誘騙手段集中在終端命令上：

1. 直接引導(dǎo)執(zhí)行命令：明確指示用戶復(fù)制curl命令到終端，偽裝成“快速安裝步驟”；

自制主題的ClickFix頁(yè)面

2. 隱蔽替換復(fù)制內(nèi)容：以TradingView仿冒網(wǎng)站為例，惡意命令被包裝成“連接安全確認(rèn)環(huán)節(jié)”。用戶點(diǎn)擊“復(fù)制”按鈕時(shí)，剪貼板中并非頁(yè)面顯示的Cloudflare驗(yàn)證ID，而是一段經(jīng)過base64編碼的惡意安裝命令。

感染流程：繞開系統(tǒng)防護(hù)，逐步完成竊密

用戶執(zhí)行惡意命令后，攻擊會(huì)按固定步驟推進(jìn)，最終實(shí)現(xiàn)數(shù)據(jù)竊?。?/p>

假TradingView頁(yè)面

1. 解碼腳本與下載載荷：命令先獲取并解碼“install.sh”腳本，再通過腳本下載惡意載荷二進(jìn)制文件；

2. 繞過系統(tǒng)安全機(jī)制：腳本會(huì)刪除“隔離標(biāo)記”、繞過macOS的Gatekeeper安全提示，確保惡意軟件能正常運(yùn)行；

3. 規(guī)避分析環(huán)境：載荷（AMOS或Odyssey）執(zhí)行前，會(huì)先檢查當(dāng)前環(huán)境是否為虛擬機(jī)或安全分析系統(tǒng)，避免被檢測(cè)；

4. 獲取權(quán)限與隱藏行為：調(diào)用sudo命令獲取root權(quán)限，首次行動(dòng)即收集主機(jī)硬件與內(nèi)存信息；隨后通過“終止OneDrive更新進(jìn)程”“與macOS XPC服務(wù)交互”，將惡意行為偽裝成合法進(jìn)程；

5. 竊取數(shù)據(jù)并外傳：激活竊密模塊，盜取瀏覽器存儲(chǔ)數(shù)據(jù)、加密貨幣憑證等敏感信息，最終發(fā)送至命令與控制（C2）服務(wù)器。

兩款竊密軟件：功能成熟，覆蓋多類敏感數(shù)據(jù)

此次傳播的兩款惡意軟件均具備針對(duì)性竊密能力，特性如下：

·AMOS：2023年4月首次被記錄，以“惡意軟件即服務(wù)（MaaS）”模式運(yùn)營(yíng)，月訂閱費(fèi)1000美元，可竊取感染設(shè)備上的各類數(shù)據(jù)。近期開發(fā)者還為其新增后門模塊，讓攻擊者獲得遠(yuǎn)程持久訪問權(quán)限；

·Odyssey Stealer：由CYFIRMA研究人員于今年夏季首次披露，是基于Poseidon Stealer衍生的新型軟件，而Poseidon Stealer本身又源自AMOS。它主要盜取Chrome、Firefox、Safari瀏覽器的憑證與Cookie、上百種加密貨幣錢包擴(kuò)展數(shù)據(jù)、鑰匙串（Keychain）信息及個(gè)人文件，最終以ZIP格式發(fā)送給攻擊者。

強(qiáng)烈建議用戶若未完全理解網(wǎng)上找到的終端命令用途，切勿將其粘貼執(zhí)行——這是防范此類攻擊最直接有效的方式。

參考及來源：https://www.bleepingcomputer.com/news/security/google-ads-for-fake-homebrew-logmein-sites-push-infostealers/