惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Recent Announcements
Recent Announcements
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
量子位
博客园 - 司徒正美
Security Archives - TechRepublic
Security Archives - TechRepublic
P
Palo Alto Networks Blog
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Cyberwarzone
Cyberwarzone
小众软件
小众软件
T
Threatpost
Latest news
Latest news
J
Java Code Geeks
博客园 - Franky
博客园 - 三生石上(FineUI控件)
Project Zero
Project Zero
P
Privacy & Cybersecurity Law Blog
T
Tenable Blog
L
Lohrmann on Cybersecurity
大猫的无限游戏
大猫的无限游戏
WordPress大学
WordPress大学
Apple Machine Learning Research
Apple Machine Learning Research
Scott Helme
Scott Helme
Simon Willison's Weblog
Simon Willison's Weblog
C
CXSECURITY Database RSS Feed - CXSecurity.com
P
Privacy International News Feed
人人都是产品经理
人人都是产品经理
S
Schneier on Security
T
The Blog of Author Tim Ferriss
V
V2EX
有赞技术团队
有赞技术团队
Y
Y Combinator Blog
罗磊的独立博客
IT之家
IT之家
雷峰网
雷峰网
H
Help Net Security
C
Cyber Attacks, Cyber Crime and Cyber Security
T
Tor Project blog
C
Cybersecurity and Infrastructure Security Agency CISA
I
InfoQ
GbyAI
GbyAI
博客园 - 叶小钗
PCI Perspectives
PCI Perspectives
The GitHub Blog
The GitHub Blog
Martin Fowler
Martin Fowler
H
Heimdal Security Blog
Spread Privacy
Spread Privacy
博客园_首页
A
About on SuperTechFans
T
Tailwind CSS Blog
The Register - Security
The Register - Security

卷卷

今日说法 节目汇总笔记 《斯坦福大学人生设计课》读书笔记 我的书单📖 H-worm (VBS蠕虫) 感染事件溯源分析报告 银狐26年全面复活,对抗强度或已超25年最高水平 Atomic Stealer (AMOS) 回归:ClickFix、伪装加密货币应用与新型 macOS 持久化机制 关于xt.exe的分析报告 仿真钓鱼页面窃取用户凭证 GitHub Pages配置Cloudflare CDN踩坑之路 推荐RSS热力图和Github热力图使用指南 学习逆向工程相关概念 zabbix快速上手 学习python高级语法特性例题笔记 学习云计算基本理论学习笔记 学习Docker-Compose命令及镜像构建与推送 ATT &CK 框架实践阅读笔记 rundll32.exe恶意加载DLL文件外联 《悉达多》读书笔记 《稀缺》读书笔记 《认知觉醒》读书笔记 《营养学》读书笔记 《心理学》读书笔记 热💖生活 C++开发环境配置与程序运行笔记 IDA Free调试Hello World笔记 逆向免杀 Admin.canway账号命名方式 BAS - Breach and Attack Simulation Windows核心系统进程链与svchost深度解析 企业测试环境的弱口令需要整改吗 AI对话笔记-模板 网络安全行业招聘需求与技术能力分析 银狐木马技术原理分析与检测技术 SIEM-安全信息和事件管理 AI笔记 转载 专业备考⏳ 其他杂项🧶 Markdown 原生图片 知道创宇技能表 Prompt越狱手册 deepseek使用指南 清华大学 deepseek提问方法 markdown基本语法 数据湖:它们是什么?为什么您的组织需要一个? GitHub Codespaces velociraptor(迅猛龙)快速上手 学习windows快捷命令 学习常用 150 个Linux命令 软考中的一些概念 学习ssh基本使用 Linux系统换源输入法和包管理器 DC-8靶机 Metasploitable3下载与安装 信息收集方法及流程 防守之道 开发运维 免责声明 密码喷射攻击:防范攻击你需要知道的事项 密码学中的哈希解释:它的工作原理、算法和实际用途 应急响应术语 各种报错积累 漏洞挖掘思路 收藏夹 RDP和360星图使用 windows入侵排查 Linux入侵排查 Redis日志分析 Linux安全加固 windows安全加固 windows日志ID速查 中间件加固 数据库安全加固 windows系统提权 MySQL注入复盘 学习git版本控制工具的概念与命令 学习Web Shell 学习Linux命令 java环境配置 学习python基础语法特性解题笔记 学习Mysql基础知识 windows权限维持 学习网络及安全的一些术语 PHP代码审计 Linux系统提权 MSSQL注入复盘 Linux权限维持 命令执行和反序列化 逻辑漏洞 upload-labs 框架漏洞 学习PHP语法特性 XXE&SSRF CSRF 文件上传 Google Hacking XSS-lab XSS实验 学习URL请求后的通信过程 FOFA
AMOS (Atomic Stealer) 恶意软件深度分析
卷卷 · 2026-04-21 · via 卷卷

AMOS (Atomic Stealer) 恶意软件深度分析

AMOS(Atomic macOS Stealer)是当前最活跃、最危险的macOS恶意软件之一,目前已从单一的数据窃取工具演变为具备后门持久化控制能力的系统性威胁。它并非传统意义上的计算机病毒,而是一种专门设计用来窃取信息的恶意软件(Infostealer),并以"恶意软件即服务"(MaaS)的模式在地下市场流通,任何付费的攻击者都可以使用它发起攻击。

传播方式:无孔不入的社会工程学

AMOS通过精心设计的社会工程学陷阱进行传播,而非利用系统漏洞。主要方式包括:

AI辅助的"ClickFix"攻击

这是当前最主流和危险的方式。攻击者创建虚假的故障排除指南,诱导用户执行命令。其核心是利用用户对AI的信赖。

  • 利用AI平台:攻击者会在Google投放广告,将搜索Mac问题(如"清理磁盘空间")的用户引导至ChatGPT、Grok等平台上伪造的"官方指南"。一个典型案例是,诱导用户安装假的"ChatGPT Atlas"浏览器,实际执行的是一条恶意命令。
  • 技术演进:为了应对macOS系统更新,该攻击手法也在不断变化,从最初的诱导用户复制粘贴命令到终端,到利用Script Editor(脚本编辑器)只需点击网页按钮就能自动执行恶意代码。

伪装成"破解版"应用

攻击者将AMOS捆绑在知名的破解版或盗版软件中,如Evernote等,诱骗用户下载。

供应链污染与SEO投毒

攻击者采用更间接和更具欺骗性的方式:

  • 污染AI开发社区:攻击者向OpenClaw等AI代理平台的技能库上传含有恶意指令的SKILL.md文件,使AI在执行时成为传播媒介。
  • 劫持开发者工具:通过SEO投毒,伪造Homebrew等开发者常用工具的网站,诱导开发者下载带毒的安装包。
  • 冒充知名软件:在GitHub等代码托管平台,利用SEO技术创建高仿知名软件(如LastPass、1Password)的虚假页面,诱骗用户下载。

精准鱼叉攻击

针对特定高价值目标(如加密货币持有者),以工作面试等为借口,诱导受害者启用屏幕共享并输入系统密码。

攻击目标:地毯式数据收割

AMOS一旦感染成功,便会系统性地收集Mac上的几乎所有敏感数据:

  • 浏览器数据:Safari、Chrome、Firefox等主流浏览器的密码、Cookies、信用卡自动填充信息。
  • 加密货币资产:超过150种加密货币钱包的敏感文件、Electrum等桌面钱包的数据。
  • 系统关键信息:macOS钥匙串中保存的全部密码和证书。
  • 通讯与办公文件:Telegram聊天记录、Apple备忘录、桌面/文档/下载文件夹中txt, pdf, docx等各类文件。
  • VPN配置:OpenVPN等VPN客户端的配置文件。

感染与攻击链

一个典型的AMOS攻击流程如下:

  1. 初始接触:用户通过搜索引擎、广告或钓鱼邮件接触到攻击者构造的恶意网站。
  2. 社交诱导:网站伪装成合法的故障排除指南、软件下载页或工作面试流程,诱导用户下一步操作。
  3. 命令执行:用户被诱导在终端或脚本编辑器中执行恶意命令,该命令通常经过混淆,难以被直接识别。
  4. 载荷下载:恶意命令连接到攻击者的服务器,下载AMOS主程序。
  5. 权限提升:恶意软件会弹出一个伪装成系统提示的对话框,要求输入管理员密码。一旦输入,AMOS便获得系统最高权限。
  6. 数据窃取与持久化:开始地毯式收集敏感数据,并将自身安装为启动项(LaunchAgent/Daemon),确保每次开机都能自动运行。
  7. 数据回传:将收集到的所有数据打包,发送到攻击者控制的服务器。
  8. 植入后门:在完成数据窃取后,会植入一个后门程序,用于接收远程指令、执行任意操作,实现对系统的长期控制。

检测与防护

如何清除?

如果怀疑Mac已感染AMOS,请立即按以下步骤处理:

  1. 断网并修改密码:第一时间断开网络连接,并在另一台干净的设备上修改所有重要账户密码(Apple ID、电子邮箱、网银等)。
  2. 使用安全软件扫描:主流的Mac安全软件均可有效检测并清除AMOS。
    • Malwarebytes for Mac:下载并安装后,进行全盘扫描。
    • Microsoft Defender for Endpoint:也将其命名为Trojan:MacOS/Amos.AM!MTB进行查杀。
    • CleanMyMac 和 Moonlock:同样可以检测并移除AMOS。
  3. 手动检查持久化机制:打开终端,检查以下目录中是否存在可疑或近期创建的文件:
    • ~/Library/LaunchAgents/
    • /Library/LaunchDaemons/
    • 查找并移除名为com.finder.helper.plist等可疑文件。
  4. 专业重置:对于企业用户或怀疑存在顽固后门的用户,最稳妥的方案是使用可信任的恢复镜像彻底重装系统。

如何预防?

  1. 绝不执行未知命令:这是最核心的原则。永远不要从你不了解或不信赖的网站、文档或聊天中复制粘贴命令到终端或脚本编辑器执行。
  2. 警惕AI"指导":对来自任何AI(包括ChatGPT)的故障排除指南或安装指令保持警惕,特别是当它要求你执行终端命令时。
  3. 远离盗版软件:仅从Mac App Store或开发者官方网站下载软件,破解版软件是AMOS的重要传播载体。
  4. 注意系统权限请求:当应用或安装程序突然要求输入管理员密码时,务必三思,确认其来源和必要性。
  5. 保持系统更新:及时安装Apple发布的macOS系统更新和安全补丁。
  6. 部署专业安全软件:安装信誉良好的反恶意软件,为系统增加一道主动防御屏障。

最新动态与趋势

AMOS仍在持续演进,最新的威胁动态包括:

  • AI平台滥用升级:在ChatGPT后,攻击者也开始利用Grok等更多AI平台进行传播。
  • 脚本编辑器成为新入口:随着macOS强化了终端安全,攻击者转而利用系统内置的脚本编辑器执行恶意代码,绕过新防护。
  • 恶意广告新伪装:出现将恶意广告伪装成Medium博客文章,并针对特定AI工具(如Kimi)用户进行精准投放的案例。
  • 供应链攻击深化:攻击者通过污染AI社区技能库等供应链攻击手法,不断开辟新的感染渠道。
  • 新变种和同伙:除了AMOS本身,其变种(如SHAMOS)以及其他竞争者(如Odyssey Stealer、Poseidon Stealer)也在市场上活跃,共享相似的代码和攻击手法。

总结

AMOS(Atomic macOS Stealer)已发展成为Mac生态系统面临的最严重的恶意软件威胁之一。它巧妙地利用了社会工程学和对AI等流行技术的信任,结合快速演进的攻击技术和商业化的MaaS模式,对个人和企业用户构成了严峻挑战。

因此,macOS用户需要抛弃"Mac不会中毒"的传统观念,养成审慎的网络安全习惯,并对任何要求执行未知命令的行为保持高度警惕,这是抵御此类威胁的第一道也是最有效的防线。