原子级macOS窃密病毒(Atomic macOS Stealer)最新变种新增持久化后门功能,对Mac用户构成更大安全威胁。
这款简称AMOS的恶意软件自2023年问世以来,立即成为网络罪犯窃取Mac数据的利器。虽然2024年已出现过新变种,但其2025年的更新版本可能给受害者带来噩梦。
MacPaw网络安全部门Moonlock发现,最新版AMOS首次嵌入了后门程序。目前尚不清楚这是原作者还是他人修改代码所致,但结果都导致威胁等级显著提升。Moonlock认为这是迄今为止所见危害性最大的AMOS版本。
此前AMOS仅能窃取目标Mac的用户数据和加密钱包并上传至服务器。新增后门功能后,其破坏范围已从数据窃取扩展到完全控制系统。
值得注意的是,后门功能在macOS恶意软件中极为罕见。这仅是继朝鲜黑客攻击后,全球范围内发现的第二起针对Mac用户的后门病毒案例。
新版病毒运作机制
AMOS通常伪装成正常应用程序传播,通过虚假/破解软件下载网站,或针对加密货币持有者的鱼叉式钓鱼攻击分发。后者甚至会在虚假工作面试过程中,诱骗受害者开启屏幕共享并输入系统密码。
安装执行后,AMOS会立即窃取密码和助记词,同时植入持久化后门等待远程指令。分析显示其初始阶段几乎未变,但新增的后门功能会在数据收集完成后激活。
恶意DMG文件伪装成合法安装包,包含Mach-O脚本和扩展程序组合,利用社会工程学绕过Gatekeeper防护。仍通过AppleScript获取执行权限,并通过launchctl的PLIST文件实现持久化。
虽然当前后门功能尚未完全开发,但相比朝鲜黑客的复杂后门,AMOS具有极大扩展空间,预计未来会出现更危险变种。研究人员认为开发者”刚刚踏入这个市场新领域”。
防护建议
保持良好数字卫生习惯:仅从Mac应用商店下载软件,避免未经验证的来源和盗版软件。警惕任何要求关闭Gatekeeper或签名检查的程序。
特别注意钓鱼攻击风险,尤其是伪装工作面试的情形。切勿在远程会议中轻易共享屏幕或输入系统凭证。
