LastPass：假冒密码管理器通过恶意软件感染 Mac 用户

LastPass警告用户，有一项针对macOS用户的恶意软件攻击活动，通过伪装成流行软件并通过欺诈性的GitHub仓库传播。

这些假冒应用程序通过ClickFix攻击传播Atomic（AMOS）信息窃取型恶意软件，并通过搜索引擎优化（SEO）手段在Google和Bing上获得推广。

AMOS是一种恶意软件即服务（MaaS）运营，月租费用为1000美元，通常针对感染机器上的数据。

最近，恶意软件的开发者为其增加了后门组件，使攻击者能够在受感染的系统上保持持久和隐蔽的访问权限。

LastPass表示，除了他们的产品之外，这一攻击活动还伪装成了100多种软件产品，包括1Password、Dropbox、Confluence、Robinhood、Fidelity、Notion、Gemini、Audacity、Adobe After Effects、Thunderbird和SentinelOne等。

攻击者创建了大量欺诈性的GitHub仓库，使用多个帐户来规避封禁，并通过优化这些仓库，使它们在搜索结果中排名较高。

这些仓库中含有一个“下载按钮”，点击后会将用户引导到一个二级网站，用户在该网站上被要求在Terminal（终端）中粘贴命令以进行安装。

这是典型的ClickFix攻击，利用受害者不理解命令在他们的系统中做什么的漏洞。

该命令执行了一个curl请求，访问一个base64编码的URL，下载AMOS负载（install.sh）到/tmp目录中。

针对Apple电脑的ClickFix攻击并不罕见。

BleepingComputer曾报道过类似的攻击活动，其中伪装成Booking.com，最近也有广告推广假冒解决方案针对macOS特有的问题。

尽管LastPass继续监控这一活动并向GitHub报告假冒仓库，但攻击者可以通过新帐户的自动化轻松创建新的仓库。

为了避免成为ClickFix攻击的受害者，用户应谨慎执行自己不理解的命令。

在网上寻找软件时，建议信任供应商或项目的官方网站。如果官网没有提供macOS版本，那么该非官方版本很可能是假的。

对于macOS版本，用户应确保其来自经过社区验证的信誉良好的供应商。

消息来源：bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；