详细内容或原文请订阅后点击阅览
Google 广告将 Mac 用户引向传播 AMOS 信息窃取者的有毒 AI 聊天室
犯罪分子使恶意 ChatGPT 和 Grok 对话出现在常见 Google 搜索的顶部,从而将用户直接引导至 Atomic macOS Stealer。
来源:Malwarebytes Labs 博客研究人员发现证据表明,Google 搜索结果中插入了 AI 对话,以误导 macOS 用户安装 Atomic macOS Stealer (AMOS)。 Grok 和 ChatGPT 均被发现在这些攻击中被滥用。
对 AMOS 警报的取证调查显示,当用户在 Google 上搜索“macOS 上的空闲磁盘空间”时,感染链就开始了。沿着这条线索,研究人员发现了不止一个,而是两个带有指令的有毒人工智能对话。他们的测试表明,类似的搜索会产生相同类型的结果,表明这是一次故意感染 Mac 用户的尝试。
搜索结果引发了 AI 对话,该对话提供了在 macOS 终端中运行命令的清晰说明。该命令将随着计算机感染 AMOS 恶意软件而结束。
如果这听起来很熟悉,您可能已经阅读过我们关于 GitHub 上的赞助搜索结果导致假冒 macOS 软件的文章。在那次活动中,赞助广告和 SEO 中毒的搜索结果将用户引导至冒充合法 macOS 软件的 GitHub 页面,攻击者在其中提供了最终安装 AMOS 信息窃取器的分步说明。
正如研究人员指出的:
“一旦受害者执行命令,多阶段感染链就开始了。终端命令中的 base64 编码字符串被解码为托管恶意 bash 脚本的 URL,这是 AMOS 部署的第一阶段,旨在获取凭据、升级权限并建立持久性,而不会触发安全警告。”
这对于许多级别的用户来说都是危险的。由于没有提示或审查,用户没有机会在运行之前查看或评估下载的脚本将执行的操作。由于使用命令行,它绕过了安全性,它可以绕过正常的文件下载保护并执行攻击者想要的任何内容。
那么这是如何工作的呢?
如何保持安全
如果您扫描了 Mac 并发现了 AMOS 信息窃取程序: