谷歌广告引流AI对话传播macOS窃密 malware

快速阅读: 据卡巴斯基公司披露，不法分子利用谷歌广告诱导macOS用户访问伪造AI对话页面，诱骗执行恶意命令安装AMOS木马，窃取加密钱包数据、浏览器凭证等敏感信息。

近日，网络安全研究人员发现一起新型网络攻击活动，不法分子利用谷歌搜索广告诱导用户访问伪造的ChatGPT和Grok对话页面，以提供“系统清理”等看似合法的技术指导为诱饵，诱使macOS用户执行恶意指令，最终安装名为AMOS的信息窃取木马。

据卡巴斯基公司日前披露，该攻击手法由其安全团队首次发现，Huntress托管安全平台今日发布详细报告。攻击者针对“如何清理iMac数据”“释放Mac存储空间”等常见问题投放广告，链接指向事先在主流大语言模型平台上公开分享的恶意对话。用户若在终端中运行其中提供的命令，将触发一段base64编码的bash脚本，弹出伪造的密码输入框。一旦用户输入密码，脚本即获取系统最高权限，下载并静默部署AMOS恶意程序。

AMOS最早于2023年4月被记录，是一种专门针对macOS系统的“恶意软件即服务”（MaaS），月租费用高达1000美元。今年早些时候，该木马新增后门模块，可远程执行命令、记录键盘输入并投递额外载荷。其核心组件以隐藏文件“.helper”形式存于用户目录，能识别并替换Ledger Wallet、Trezor Suite等主流加密钱包应用，诱骗用户输入助记词。此外，它还窃取Electrum、MetaMask、Coinbase Wallet等多款钱包数据，以及浏览器保存的密码、Cookie、会话令牌和macOS钥匙串中的Wi-Fi凭证等敏感信息。

为实现持久驻留，该恶意软件通过LaunchDaemon配置项启动隐藏AppleScript，形成看门狗循环，确保进程被终止后一秒内重启。专家提醒，用户切勿随意执行来源不明的终端命令。值得注意的是，即使进入被篡改的AI对话页面，仅需追问一句“此操作是否安全”，部分模型即可识别风险并发出警告。

(以上内容均由Ai生成)