导语:通过仿冒Homebrew、LogMeIn与TradingView三大平台,传播AMOS、Odyssey等窃密恶意软件。
一场新型恶意攻击正以macOS开发者为目标,通过仿冒Homebrew、LogMeIn与TradingView三大平台,传播AMOS、Odyssey等窃密恶意软件。该攻击采用“ClickFix”技术,诱骗受害者在终端中执行命令,从而自行感染恶意软件。
此次攻击者选择的三个仿冒对象,均是苹果用户日常高频使用的工具,具备高信任度,便于伪装:
·Homebrew:热门开源包管理系统,能简化macOS与Linux系统的软件安装流程。此前威胁者就曾冒用其名义,通过恶意广告传播AMOS;
·LogMeIn:远程访问服务,常用于设备远程控制与团队协作;
·TradingView:金融图表与市场分析平台,广泛服务于开发者及金融从业者。
威胁狩猎公司Hunt.io的研究人员发现,此次攻击中,攻击者搭建了超过85个仿冒上述三个平台的域名,包括:
Hunt.io发现的一些域名
部分仿冒网站的流量通过谷歌广告引导——攻击者通过付费推广,让仿冒网站出现在谷歌搜索结果中,大幅提升曝光量与诱导成功率。
诱骗细节:终端命令藏陷阱,伪装成“安全步骤”
研究人员指出,恶意网站会搭建“看似正规的虚假应用下载入口”,核心诱骗手段集中在终端命令上:
1. 直接引导执行命令:明确指示用户复制curl命令到终端,伪装成“快速安装步骤”;
自制主题的ClickFix页面
2. 隐蔽替换复制内容:以TradingView仿冒网站为例,恶意命令被包装成“连接安全确认环节”。用户点击“复制”按钮时,剪贴板中并非页面显示的Cloudflare验证ID,而是一段经过base64编码的恶意安装命令。
感染流程:绕开系统防护,逐步完成窃密
用户执行恶意命令后,攻击会按固定步骤推进,最终实现数据窃取:
假TradingView页面
1. 解码脚本与下载载荷:命令先获取并解码“install.sh”脚本,再通过脚本下载恶意载荷二进制文件;
2. 绕过系统安全机制:脚本会删除“隔离标记”、绕过macOS的Gatekeeper安全提示,确保恶意软件能正常运行;
3. 规避分析环境:载荷(AMOS或Odyssey)执行前,会先检查当前环境是否为虚拟机或安全分析系统,避免被检测;
4. 获取权限与隐藏行为:调用sudo命令获取root权限,首次行动即收集主机硬件与内存信息;随后通过“终止OneDrive更新进程”“与macOS XPC服务交互”,将恶意行为伪装成合法进程;
5. 窃取数据并外传:激活窃密模块,盗取浏览器存储数据、加密货币凭证等敏感信息,最终发送至命令与控制(C2)服务器。
两款窃密软件:功能成熟,覆盖多类敏感数据
此次传播的两款恶意软件均具备针对性窃密能力,特性如下:
·AMOS:2023年4月首次被记录,以“恶意软件即服务(MaaS)”模式运营,月订阅费1000美元,可窃取感染设备上的各类数据。近期开发者还为其新增后门模块,让攻击者获得远程持久访问权限;
·Odyssey Stealer:由CYFIRMA研究人员于今年夏季首次披露,是基于Poseidon Stealer衍生的新型软件,而Poseidon Stealer本身又源自AMOS。它主要盗取Chrome、Firefox、Safari浏览器的凭证与Cookie、上百种加密货币钱包扩展数据、钥匙串(Keychain)信息及个人文件,最终以ZIP格式发送给攻击者。
强烈建议用户若未完全理解网上找到的终端命令用途,切勿将其粘贴执行——这是防范此类攻击最直接有效的方式。
文章翻译自:https://www.bleepingcomputer.com/news/security/google-ads-for-fake-homebrew-logmein-sites-push-infostealers/如若转载,请注明原文地址
