数百家组织遭 Atomic macOS Stealer 变种攻击

一场旨在传播 Atomic macOS Stealer (AMOS) 变种的高级恶意广告活动已针对数百家组织发起。

在 2025 年 6 月至 8 月期间，该活动将受害者引向欺诈性的 macOS 帮助网站，并诱使他们执行恶意的单行安装命令。

其最终目的是让受害者感染 SHAMOS 变种（AMOS 信息窃取程序），该变种由恶意软件即服务 (MaaS) 团伙 Cookie Spider 开发。

在此期间，CrowdStrike 表示其阻止了该恶意广告活动企图入侵其超过 300 个客户环境的尝试。

“这次活动突显了恶意单行安装命令在网络犯罪（eCrime）行为者中的流行程度。” CrowdStrike 在最近的一篇博客中表示。

该技术使网络犯罪分子能够绕过 Gatekeeper 安全检查，将 Mach-O（一种主要由 macOS 使用的二进制格式）可执行文件直接安装到受害者设备上。

Cuckoo Stealer 和 SHAMOS 的操作者曾在 2024 年 5 月至 2025 年 1 月期间发生的 Homebrew 恶意广告活动中利用过此方法。

CrowdStrike 指出，该恶意广告网站出现在包括英国、美国、日本、中国、哥伦比亚、加拿大、墨西哥、意大利等地的谷歌搜索结果中。

该公司的分析称，没有受害者位于俄罗斯。“这很可能是因为俄罗斯的网络犯罪论坛禁止商品化恶意软件操作者针对位于俄罗斯的用户，”该公司表示。

这些欺诈性的 macOS 帮助网站提供了关于用户如何解决问题的错误指导。然而，页面指示受害者复制、粘贴并执行一个恶意的单行安装命令，该命令会解码 Base64 编码的字符串。

随后，该命令会从 https[:]//icloudservers[.]com/gm/install[.]sh 下载一个文件。该文件是一个 Bash 脚本，会捕获用户密码并从 https[:]//icloudservers[.]com/gm/update 下载 SHAMOS 的 Mach-O 可执行文件。

自 2025 年 6 月首次报告此类活动以来，CrowdStrike Counter Adversary Operations 表示，他们持续观察到机会主义的网络犯罪威胁行为者利用恶意的 GitHub 仓库诱使受害者执行下载 SHAMOS 的命令。

CrowdStrike Counter Adversary Operations 高度确信，网络犯罪行为者很可能会继续利用恶意广告和单行安装命令来分发 macOS 信息窃取程序。

消息来源： infosecurity-magazine；

本文由 HackerNews.cc 翻译整理，封面来源于网络；