安全研究人员近日发现,针对 macOS 用户的恶意软件攻击活动正在升级。黑客通过滥用 macOS 内置的“脚本编辑器”(Script Editor)应用程序,成功绕过了系统对终端命令的部分限制,向用户设备植入 Atomic Stealer(AMOS)信息窃取木马。
伪装成磁盘清理工具的攻击链
根据 Jamf 安全团队的报告,攻击者通常会搭建伪造的苹果主题网页,声称能帮助用户解决磁盘空间不足的问题。这些网页不仅看起来非常专业,还提供了看似合法的系统清理步骤,诱导用户点击特定链接。
不同于以往需要用户手动在终端(Terminal)输入命令的攻击方式,该变种利用了“applescript://”协议。当用户点击页面按钮时,系统会自动启动“脚本编辑器”,并加载预设好的恶意指令。这些代码通过 obfuscated ‘curl | zsh’ 命令,直接将恶意载荷下载至系统内存中运行。
研究人员指出,该恶意软件会执行一系列复杂的预处理操作,包括解码 Base64 负载、下载名为“/tmp/helper”的二进制文件,并利用‘xattr -c’命令移除安全属性,最终完成在目标系统上的驻留。
Atomic Stealer 是一款典型的“恶意软件即服务”(MaaS)产品,近年来被广泛应用于各类 ClickFix 攻击中。一旦被植入,该木马会迅速窃取用户的 Keychain 密钥串数据、浏览器存储的密码、自动填充信息、信用卡信息以及加密货币钱包的私钥。
此外,该恶意软件还具备后门功能,能够为攻击者提供对受害设备的持续访问权限。虽然苹果在 macOS Tahoe 26.4 版本中引入了针对 ClickFix 攻击的终端警告机制,但此次利用脚本编辑器的攻击手段证明,黑客正在不断调整策略以规避系统防护。
安全专家建议,用户应保持极高的警惕,不要随意执行来自未知网页的脚本编辑器提示。如果需要进行系统维护或故障排除,请务必仅参考苹果官方提供的技术文档。
