AMOS 惡意軟件：如何識(shí)別和防范這個(gè)能竊取你敏感信息的隱形威脅AMOS 是一種針對(duì) macOS 系統(tǒng)的惡意軟件，它可以竊取用戶的敏感信息，如密碼、銀行賬戶、信用卡號(hào)等，并將其發(fā)送給遠(yuǎn)程服務(wù)器。AMOS 還可以下載和執(zhí)行其他惡意代碼，從而對(duì)用戶的設(shè)備和數(shù)據(jù)造成更大的危害。AMOS 的傳播方式主要是通過偽裝成合法的應(yīng)用程序或文檔，誘騙用戶下載和運(yùn)行。本文將介紹 AMOS 的背景和目的、主要特征、行為和檢測(cè)方法，并給出一些預(yù)防和清除的建議。

AMOS 惡意軟件：如何識(shí)別和防范

AMOS 的背景和目的

AMOS 是一種由一個(gè)名為 APT28 或 Fancy Bear 的黑客組織開發(fā)和部署的惡意軟件。該黑客組織被認(rèn)為與俄羅斯政府有關(guān)聯(lián)，曾經(jīng)發(fā)動(dòng)過多次針對(duì)政府、軍事、媒體、教育等機(jī)構(gòu)和個(gè)人的網(wǎng)絡(luò)攻擊。AMOS 的目的是為了收集用戶的敏感信息，以便進(jìn)行間諜活動(dòng)、勒索、詐騙等犯罪行為。AMOS 也可能被用作一個(gè)跳板，為其他更高級(jí)的攻擊提供入口。

AMOS 的特征

AMOS 是一種基于 Python 的惡意軟件，它使用了 py2app 工具將 Python 代碼打包成可執(zhí)行的 macOS 應(yīng)用程序。AMOS 的可執(zhí)行文件通常隱藏在一個(gè) ZIP 壓縮包中，該壓縮包的文件名和圖標(biāo)會(huì)模仿某些流行的應(yīng)用程序或文檔，如 Adobe Flash Player、Microsoft Word、PDF 文件等。當(dāng)用戶解壓并雙擊這些文件時(shí)，AMOS 會(huì)被激活，并在后臺(tái)運(yùn)行。

AMOS 的運(yùn)行過程分為以下幾個(gè)步驟：

AMOS 會(huì)首先檢查設(shè)備上是否已經(jīng)存在一個(gè)名為 com.apple.questd 的進(jìn)程，如果存在，則退出運(yùn)行，以避免被重復(fù)感染。

AMOS 會(huì)生成一個(gè)隨機(jī)的字符串作為設(shè)備的唯一標(biāo)識(shí)符，并將其保存在 /Users/Shared/.log 文件中。

AMOS 會(huì)創(chuàng)建一個(gè)名為 com.apple.questd 的 Launch Agent，并將其保存在 /Library/LaunchAgents/ 目錄下。該 Launch Agent 會(huì)在每次設(shè)備啟動(dòng)時(shí)自動(dòng)運(yùn)行 AMOS。

AMOS 會(huì)連接到一個(gè)預(yù)設(shè)的遠(yuǎn)程服務(wù)器，并發(fā)送設(shè)備的唯一標(biāo)識(shí)符、操作系統(tǒng)版本、用戶名、IP 地址等信息。

AMOS 會(huì)接收來自遠(yuǎn)程服務(wù)器的指令，并根據(jù)指令執(zhí)行相應(yīng)的操作。這些操作包括：

竊取用戶的瀏覽器歷史記錄、Cookie、書簽等數(shù)據(jù)，并將其壓縮成 ZIP 文件發(fā)送給遠(yuǎn)程服務(wù)器。

竊取用戶的 Keychain 中保存的密碼、銀行賬戶、信用卡號(hào)等數(shù)據(jù)，并將其加密后發(fā)送給遠(yuǎn)程服務(wù)器。

下載并執(zhí)行遠(yuǎn)程服務(wù)器提供的其他惡意代碼，如木馬、勒索軟件、挖礦軟件等。

刪除或修改用戶的文件或系統(tǒng)設(shè)置，造成數(shù)據(jù)丟失或系統(tǒng)崩潰。

AMOS 的檢測(cè)方法:

? 檢查設(shè)備上是否有 /Users/Shared/.log 文件，該文件是 AMOS 保存設(shè)備唯一標(biāo)識(shí)符的地方。

? 檢查設(shè)備上是否有
/Library/LaunchAgents/com.apple.questd.plist 文件，該文件是 AMOS 創(chuàng)建的 Launch Agent。

? 檢查設(shè)備上是否有名為 com.apple.questd 的進(jìn)程在運(yùn)行，該進(jìn)程是 AMOS 的主要組件。

? 使用可靠的殺毒軟件或安全工具掃描設(shè)備，查找并刪除 AMOS 及其相關(guān)的文件和進(jìn)程。?