Google搜索惊现新型Mac恶意软件攻击

摘要

安全研究人员发现，针对Mac用户的AMOS恶意软件正通过Google搜索结果大规模传播。攻击者伪造Apple支持文档和Medium技术教程，利用base64编码的恶意命令诱导用户在终端执行，导致文档、密码等敏感信息被窃取。尽管macOS具备多重安全防护，但用户一旦在终端粘贴恶意命令，这些保护机制便形同虚设。

内容框架与概述

本文报道了近期在Google搜索结果中发现的新型Mac恶意软件攻击事件。安全研究人员Olena和Vladyslav Kolchin先后发现，攻击者通过伪造Apple风格网站、docs.google.com、business.google.com以及Medium文章传播AMOS（又名SOMA）窃贼程序。

攻击手法与此前通过ChatGPT传播的恶意软件高度相似，都是诱导用户将base64编码的恶意命令粘贴到终端中运行。恶意软件运行后会立即复制用户Documents文件夹内容到指定位置，并在主目录创建多个隐藏文件用于持久化盗窃，同时请求访问Notes应用。

作者对此类攻击的防护提出了详细建议，强调用户应对搜索结果保持警惕，特别留意推广链接的商业动机，在执行任何终端命令前务必核实来源并理解命令的具体含义。

核心概念及解读

AMOS/SOMA窃贼：针对macOS的高级恶意软件，能够窃取用户文档、密码、浏览器数据等敏感信息。

Base64编码混淆：恶意软件常用的隐藏技术，通过编码使恶意命令表面看起来无害，欺骗用户执行。

推广链接恶意化：攻击者利用搜索引擎广告系统，将恶意网站伪装成正规技术文档诱导用户点击。

终端命令诱导：通过伪造的技术教程骗取用户信任，诱导其在Terminal中运行窃取数据的恶意命令。

macOS安全机制绕过：尽管系统具备Gatekeeper和隔离区等防护，但用户主动在终端执行命令可使这些保护失效。

原文信息

此摘要卡片由 AI 自动生成