網絡安全專家發現了一項針對持有加密貨幣的 macOS 用戶的高級惡意軟件攻擊行動。這款被稱為 Atomic Stealer(AMOS)的惡意程式,專門偽裝成流行的 Ledger Live 應用程式,以盜取加密貨幣錢包的助記詞,並將受害人的數碼資產全數轉走。
目前最大的風險是 該惡意軟件 能以幾乎一模一樣的惡意程式取代正宗 Ledger Live。當用戶安裝了假的 Ledger Live 後,應用會彈出騙人提示,要求輸入 24 字的恢復助記詞,聲稱是安全驗證或同步錢包所需。
這種社交工程手法正是利用大家對 Ledger Live 真品的信任,因該應用廣為投資者管理 Ledger 硬件錢包之用。一旦用戶輸入助記詞,敏感資料會即時傳送到黑客的遠端伺服器,令罪犯可以完全控制受害者的加密錢包。
多間安全公司(包括 Unit 42、Intego 及 Moonlock)的調查均證實此惡意程式正活躍運作,且已有受害者損失由數百至數千美元不等的加密貨幣。
傳播方式與初步入侵途徑
Atomic Stealer 惡意軟件透過多種精細的分發方式接觸潛在目標。主要攻擊途徑包括設計極真實的釣魚網站、在熱門網站放置惡意廣告,以及受污染的軟件儲存庫。
黑客運用 SEO 技巧,令假網站於用戶搜尋正版應用程式下載時排得更前。這些網站會仿製正品品牌設計,甚至加插偽冒用戶評價及推薦語。
另一常見做法是提供熱門收費軟件的破解版或盜版,貪圖免費的用戶不經意間下載了隱含 Atomic Stealer 惡意載荷的安裝程式。
這些偽冒安裝程式通常已被偷竊或偽造的數位證書簽署,可以繞過基本安全檢查,展現為完全正規的程式,提升初步感染的機會。
全面數據竊取能力
Ledger Live 仿冒僅是 Atomic Stealer 造成經濟損失的冰山一角。該惡意軟件還具備更廣泛的資料竊取能力,不只針對加密貨幣應用。安全分析證實,它能從超過 50 款加密錢包瀏覽器擴充功能中提取敏感資料,包括常用的 MetaMask、Coinbase Wallet 及 Trust Wallet。
它會有系統地收集所有主流瀏覽器(Safari、Chrome、Firefox、Edge)儲存的密碼。並專門針對密碼管理器,如受感染期間已解鎖的 1Password、Bitwarden 和 LastPass 也可能被盜走登錄資料。
另外,Atomic Stealer 能複製存於瀏覽器及金融應用的信用卡資料、銀行憑證及支付信息。更會收集瀏覽器 Cookies,可能令攻擊者直接登入受害人在不同線上服務的已認證賬戶。
系統探查功能可收集詳細硬件規格、已安裝軟件記錄及用戶賬戶資料,協助攻擊者識別高價值目標,並策劃後續網絡攻擊或社交工程行動。
持續潛伏與防偵測技術
Atomic Stealer 採用複雜策略以確保能在入侵系統中持續運作,同時避開安全防護。它一般會建立多重持久性機制,例如設置 launch agents、登入項目及排程任務,確保系統重啟後仍會自動運行。
惡意軟件利用進階混淆方式,隱藏自身於殺毒程式及系統監控工具之下。不時更改檔案名稱、位置及運行方式,逃避傳統安全方案常用的簽名式偵測。
與指揮與控制伺服器通訊時均採用加密連接及域名生成算法,即使有惡意域名被封鎖或下架,亦能保持聯繫。更可隨時收取新指令或下載額外載荷以擴充功能。
對加密貨幣安全格局的影響
Atomic Stealer 的出現,標誌著針對加密貨幣用戶的攻擊已大大升級。不同於以往多數憑瀏覽器或簡單鍵盤側錄的惡意軟件,這次已進化至精密的應用仿冒,連資安意識較高的用戶也難以防範。
這類襲擊除了對受害者造成重大財務損失,更削弱各界對加密貨幣資安措施及硬件錢包安全的信心。Ledger 官方已發出資安警示,提醒用戶注意假冒風險,並提供識別正版軟件的指引。
資安業界認為這種攻擊手法將可能複製到其他流行加密錢包管理應用,如 Trezor Suite、Exodus 等。一旦 Ledger Live 仿冒案取得成功,整個加密生態圈都可能出現更多類似攻擊。
偵測與移除困難
偵測 Atomic Stealer 感染對用戶及資安工具來說都具挑戰性。由於其防偵測技術及真實外觀,常於例行系統掃描時無法與正品程式區分。
用戶有機會完全察覺不到系統已遭感染,甚至仍可正常使用真實軟件。只有當加密資產被盜或專門針對此類威脅的資安工具發揮作用時,才可能發現。
專家建議使用可信賴廠商的最新防毒解決方案,目前大部分主流資安公司均已加入 Atomic Stealer 既有樣本的偵測簽名。不過,由於惡意軟件持續快速更新,因此偵測速度或會落後新變種。
防護建議
對抗 Atomic Stealer 及類似威脅,需多層次的技術防衛和用戶教育並行。最有效防線是只從官方及認證 App Store 下載軟件,遠離第三方網站及 BT 下載。
用戶應嚴格妥善管理助記詞,除非 100% 確定軟件或網站真偽,千萬不可輸入。不少硬件錢包廠商都強調,正規應用從不會在日常操作時主動要求助記詞。
定期檢查已安裝程式,有助發現可疑軟件。檢閱各應用的存取權限、連網行為及有否修改系統設定。
維持作業系統與應用程式的最新狀態,盡快修補已知安全漏洞。能的話啟用自動更新,以防黑客利用已知攻擊途徑入侵。
業界回應與未來啟示
加密貨幣資安業界已針對 Atomic Stealer 加強偵測及推動用戶教育。硬件錢包廠商正開發額外認證機制,協助用戶辨識正品應用。
資安專家會持續監測此威脅變種,因應新的惡意技術與時俱進。應用仿冒手法成功,意味未來其他高價值行業亦可能出現雷同威脅,不止於加密貨幣領域。
是次事件正好提醒持有大量加密資產的人,必須時刻警覺網絡安全威脅。隨著數碼資產成為主流,針對這些財產的高級攻擊預計只會持續增加。
最後總結
Atomic Stealer 恶意软件攻势,是加密貨幣領域攻擊手法進一步升級的實例,反映罪犯會設計假冒軟件針對廣大用戶信任。Ledger Live 的高級仿冒事件,正顯示業界必須提升安全意識及技術防護水平。
用戶必須警覺軟件來源、備份及管理助記詞,養成良好的資安習慣以保障數碼資產。隨威脅持續演變,用戶教育、技術保護及產業合作將成為加密貨幣安全不可或缺的一環。