Mac电脑比Windows更安全?这个认知正在被一款名为AMOS的恶意软件彻底打破。安全厂商Sophos的数据显示,2025年该公司部署的Mac保护更新中,近40%都与AMOS有关,其检测率是其他Mac恶意软件家族的两倍以上。更令人警惕的是,这款被安全研究人员称为"最危险的Mac恶意软件之一"的病毒,并不需要什么高深的技术漏洞——它只需要你亲手在终端里敲下一行命令。
AMOS全称为Atomic macOS Stealer,自2023年4月以来就以"恶意软件即服务"的模式持续运营。与传统病毒不同,它不依赖零日漏洞,而是专攻人性的弱点。近期Sophos MDR团队调查的一起事件中,攻击者采用了名为ClickFix的社会工程套路:受害者被引导至一个伪造的网页,页面显示"修复"某个问题的指令,实际上却是让受害者自己打开终端,复制粘贴一段恶意代码并执行。
这种手法在2025年至2026年初的Mac窃密软件攻击中愈发常见。一旦用户执行了初始命令,脚本会立即弹窗索要系统密码。AMOS会用简单的目录服务命令在本地验证密码,随后将其存入用户主目录下的隐藏文件.pass。拿到密码后,恶意软件下载第二阶段载荷,并移除扩展属性以绕过Mac的安全警告。
为躲避安全研究人员的分析,AMOS还会检查运行环境。它通过查询system_profiler数据,寻找QEMU、VMware或KVM等虚拟化迹象,一旦检测到沙箱环境便停止活动。确认处于真实用户设备后,它开始大规模收割数据:Mac钥匙串数据库、Firefox和Chrome的浏览器凭证、扩展存储文件、本地会话令牌都在劫掠之列。部分变种还会部署伪造的Ledger Wallet和Trezor Suite应用,专门窃取加密货币钱包的助记词和凭证。
AMOS的变种迭代速度同样惊人。2025年8月,CrowdStrike报告了名为SHAMOS的变种;同年12月,Huntress安全团队发现攻击者通过投毒搜索引擎结果,在与ChatGPT和Grok相关的搜索中传播感染。近三个月的客户报告中,几乎一半的Mac窃密软件事件都涉及AMOS或其近亲变种。
面对这一威胁,苹果并非毫无动作。系统层面的防护升级、Gatekeeper的强化、以及用户教育都在推进。但AMOS的攻击模式揭示了一个尴尬现实:再坚固的系统防线,也可能被用户亲手输入的一行命令绕过。当恶意软件学会用"请君入瓮"代替"破门而入",安全防御的重心或许需要从修补漏洞,转向重新理解"用户行为"本身。
热门跟贴