此篇文章揭示了一起針對macOS用戶的高風險資安攻擊,該攻擊由駭客集團發動,假冒美國電信業者Spectrum進行網域註冊,並結合ClickFix網釣流程散布新版的Atomic macOS Stealer(AMOS)惡意程式。攻擊行動自5月下旬活躍以來,駭客設置了多個與Spectrum相關的假網域,誘使受害者下載並執行AMOS惡意程式,從而竊取敏感資料,包括用戶的憑證、瀏覽器快取、加密貨幣錢包等。
在這次攻擊中,駭客註冊了與Spectrum高度相似的網域,並通過誘使用戶訪問釣魚網站來進行資料竊取。這些假冒的網站仿冒常見的驗證界面,欺騙用戶點擊錯誤的驗證按鈕,並且利用替代驗證按鈕將攻擊腳本複製到剪貼簿,再要求用戶在終端機執行腳本。此過程基於對macOS作業系統的攻擊,駭客會根據用戶的作業系統自動調整攻擊腳本,並通過bash指令下載並執行惡意程式。
作者指出,攻擊流程中,駭客會要求受害者輸入系統密碼,並以macOS本地驗證指令確認密碼的有效性。當獲得有效密碼後,惡意程式會將憑證存儲到暫存目錄,隨後從遠端伺服器下載並執行惡意執行檔。這些檔案利用sudo權限去除安全隔離標記,並將其設為可執行,進一步執行來竊取資料。
另外,文章也指出駭客在6月初設立了假冒的Homebrew軟體庫,並利用釣魚廣告誘使開發者誤入假網域。這些開發者下載並執行了惡意安裝腳本,導致AMOS變種程式進一步植入系統。該假冒軟體庫會切換到真正的Homebrew安裝頁面或攻擊者控制的伺服器,進一步增強攻擊網站的真實性,並提高追蹤難度。
本文還提到,攻擊者的網頁原始碼中含有俄語註解,並且命令與控制伺服器的資訊與過往俄語地區駭客的特徵相符,暗示此次攻擊可能是由俄語地區的駭客發起。此外,文章指出部分攻擊網頁前端存在邏輯錯誤,指令提示不一致,甚至對macOS用戶顯示了Windows快捷鍵操作,這顯示出攻擊基礎架構的組裝較為匆忙。然而,儘管如此,攻擊的社交工程設計和針對性設置仍然具有高度的安全風險。
總結來說,文章揭示了一場針對macOS用戶的精密網路釣魚攻擊,駭客利用偽造網站、社交工程手法及針對性惡意程式,竊取了大量敏感資訊。這種攻擊方式顯示了現代駭客攻擊在技術手段上的不斷演進與精密化,並強調了網路安全防範的重要性。
