近期資安研究團隊 Huntress 揭露了一起針對 macOS 使用者的 AMOS(Atomic macOS Stealer)竊密惡意軟體 攻擊事件。與過往常見的釣魚郵件或惡意下載連結不同,這次的攻擊並未試圖「偽裝成合法軟體」,而是偽裝成「看起來非常合理、而且很有幫助的技術建議」。
更令人警惕的是,這些建議並非來自可疑網站,而是出現在 Google 搜尋結果前幾名,並直接導向 ChatGPT、Grok 等生成式 AI 的合法公開對話頁面。
📚 新聞引用來源(Huntress):https://www.huntress.com/blog/amos-stealer-chatgpt-grok-ai-trust
AMOS 的感染過程,並不是單點失誤,而是一連串精心設計的信任利用:
⬇️ SEO 投毒(SEO Poisoning):使用者在 Google 搜尋如「如何在 macOS 上清理磁碟空間」等常見疑難排解問題。
⬇️ 導向可信任平台:搜尋結果並未指向惡意網域,而是導向 ChatGPT、Grok 的公開對話頁面,且網域完全合法。
⬇️ 專業且有條理的教學內容:對話頁面中提供完整步驟說明、表情符號、甚至程式碼區塊,看起來就像一篇正常的技術教學。
⬇️ 關鍵誘因 - 終端機指令:教學中要求使用者複製一段 Terminal 指令執行,而這正是 AMOS 竊密程式的下載與啟動點。
⬇️ 使用者「親手」完成感染:指令執行後,惡意程式會竊取 Keychain、瀏覽器密碼、加密錢包並嘗試取得 root 權限與系統常駐。
整個感染過程,是由使用者親手完成的,這也讓 macOS 原本依賴的 Gatekeeper 等防護機制完全派不上用場。
這類攻擊之所以成功,關鍵不在於技術多高深,而在於多層次信任的疊加利用。使用者同時信任搜尋引擎排名、信任大型 AI 平台的品牌權威,也信任「看起來合理且有幫助」的技術建議形式。當這些信任同時成立時,傳統的資安警覺判斷幾乎會被完全繞過。
對企業而言,這代表一個殘酷的現實:
即使員工具備基本資安意識、即使端點沒有被釣魚郵件入侵,只要攻擊者能成功影響「使用者的操作行為」,風險仍然可能在內部發生。
更重要的是,這類竊密行為往往只是後續攻擊的起點。一旦帳密、Keychain 或加密錢包資訊外洩,企業將面臨的不只是單一設備受駭,而是橫向移動、雲端帳號濫用,甚至勒索攻擊的前哨風險。
面對以「AI 建議」為包裝、以使用者操作為攻擊入口的新型威脅,企業必須將防禦思維前移。針對此類攻擊場景,橙鋐科技代理多項資安解決方案,協助企業從瀏覽接觸、行為偵測到事後鑑識,建立完整且可落地的防禦策略。
Armis 關注的是「事情發生後,能否立刻被發現」。作為 Agentless 的資產安全平台,Armis 會持續建立每一台設備的行為基準。
當一台平常只連線內部系統或特定 SaaS 的 macOS 設備,突然對未知外部 IP 發起下載行為,或出現異常資料外傳流量時,系統便能即刻告警。若該連線目標已被標記為 AMOS 的 C2 基礎設施,該資產的風險等級也會同步升高,讓管理者能快速判斷處置優先順序。
在事件調查與後續聯防上,N-Partner(N-Reporter / N-Cloud)提供了重要的鑑識能力,其強項在於 Syslog 與 Flow 的關聯分析。透過整合防火牆、DNS 與流量日誌,企業可以清楚掌握惡意連線是何時發生、從哪一台設備發起,以及資料是否已經外流。這些分析結果適合讓企業用於事後的追查與進一步建立自動化阻擋規則,將已確認的惡意 C2 IP 即時阻擋,避免資料持續外洩或攻擊行為擴大。
在 AMOS 這類事件中,真正的攻擊起點並不在端點,而是在「瀏覽器中看到的內容」。Menlo Security 的 遠端瀏覽隔離技術正是針對這個關鍵環節設計。透過瀏覽隔離技術,所有網頁內容都在雲端容器中執行,即使使用者誤點搜尋結果,也無法讓惡意腳本接觸本機系統。更重要的是,管理者可以針對生成式 AI 或未知分類網站設定複製貼上管控,讓使用者即便看到惡意指令,也無法將其帶回本機執行,從源頭斬斷攻擊流程。
當攻擊開始偽裝成「看似合理、甚至有幫助的建議」,企業所面臨的資安挑戰,已不再只是防堵惡意程式本身,而是如何在日常工作流程中,降低人為操作被誤導的風險。AMOS 事件提醒我們,生成式 AI 與搜尋引擎所帶來的便利,同時也正在改變攻擊者的操作模式。
在面對這類新型態威脅時,企業不必急於追求一次到位的防禦架構,而應先理解自身環境中,哪些環節最容易成為攻擊入口,再逐步補強對應的防護能力。無論是瀏覽接觸控管、異常行為偵測,或事件發生後的鑑識與應變,每一層防護都有其適用的場景與價值。
橙鋐科技作為多項資安解決方案的在地代理夥伴,長期協助企業評估風險、釐清不同防護技術的定位,並在導入與營運階段提供必要的技術支援與經驗分享。若您希望進一步了解產品或評估哪些防護措施較符合目前的資安需求,歡迎與我們聯繫。
非常歡迎您光臨「橙鋐科技網站」(以下簡稱本網站),為了讓您能夠安心使用本網站的各項服務與資訊,特此向您說明本網站的隱私權保護政策,以保障您的權益,請您詳閱下列內容:
一、隱私權保護政策的適用範圍
隱私權保護政策內容,包括本網站如何處理在您使用網站服務時收集到的個人識別資料。隱私權保護政策不適用於本網站以外的相關連結網站,也不適用於非本網站所委託或參與管理的人員。
二、個人資料的蒐集、處理及利用方式
三、資料之保護
四、網站對外的相關連結
本網站的網頁提供其他網站的網路連結,您也可經由本網站所提供的連結,點選進入其他網站。但該連結網站不適用本網站的隱私權保護政策,您必須參考該連結網站中的隱私權保護政策。
五、與第三人共用個人資料之政策
本網站絕不會提供、交換、出租或出售任何您的個人資料給其他個人、團體、私人企業或公務機關,但有法律依據或合約義務者,不在此限。前項但書之情形包括不限於:
六、Cookie之使用
為了提供您最佳的服務,本網站會在您的電腦中放置並取用我們的Cookie,若您不願接受Cookie的寫入,您可在您使用的瀏覽器功能項中設定隱私權等級為高,即可拒絕Cookie的寫入,但可能會導至網站某些功能無法正常執行 。
七、隱私權保護政策之修正
本網站隱私權保護政策將因應需求隨時進行修正,修正後的條款將刊登於網站上。
