資安研究人員發現一起高度複雜的惡意程式攻擊行動,專門針對持有加密貨幣的 macOS 用戶下手。這款名為 Atomic Stealer(AMOS)的惡意軟體特別冒充知名的 Ledger Live 應用程式,目的是竊取珍貴的加密貨幣錢包助記詞(種子短語)並清空受害者的數位資產。
目前最令人擔憂的是,該惡意程式能用幾乎一模一樣的偽造程式,取代真正的 Ledger Live 應用。一旦安裝到受害者系統上,偽造應用就會跳出誘騙視窗,要求用戶輸入 24 字助記詞,藉以所謂的安全驗證或錢包同步目的來進行社交工程詐騙。
這種手法利用了用戶對正版 Ledger Live 的信任,而該應用在管理 Ledger 硬體錢包時十分普及。當受害者輸入助記詞時,敏感資訊立刻被傳送到攻擊者控制的伺服器,讓網路犯罪分子可完全掌控加密錢包。
包括 Unit 42、Intego 和 Moonlock 等多家資安公司已證實這類攻擊持續進行,受害者申訴失去從數百到數千美元不等的加密貨幣資產。
散播手法與初始感染途徑
Atomic Stealer 透過多種精心設計的散播渠道鎖定潛在受害者。主要感染來源包括:設計巧妙、模仿正規軟體下載入口的釣魚網站、熱門網站上的惡意廣告,以及遭入侵的軟體儲存庫。
攻擊者經常利用搜尋引擎最佳化,讓惡意下載網站在用戶尋找正版應用時顯得很靠前。這些假網站常仿冒官方品牌形象,甚至包含偽造用戶評價與推薦。
另一個常見管道是提供熱門付費軟體的破解版本。用戶為了免費獲取昂貴應用,不知不覺下載到內含 Atomic Stealer 惡意載荷的安裝包。
這些惡意安裝包經常以竊得或偽造的數位證書簽署,可以繞過基礎的安全檢查,使其對於作業系統與防毒軟體都像是合法軟體,大幅提升首次感染的成功率。
全面性資料竊取功能
雖然假冒 Ledger Live 是 Atomic Stealer 最具經濟破壞力的手段,這個惡意程式的資料竊取能力還遠超加密應用本身。安全分析顯示,Atomic Stealer 能從 50 多種加密錢包瀏覽器擴充外掛中擷取敏感資訊,包括 MetaMask、Coinbase Wallet 和 Trust Wallet 等常見選項。
它還會自動收集所有主流瀏覽器(如 Safari、Chrome、Firefox、Edge)裡的儲存密碼,並專門鎖定密碼管理器,如果 1Password、Bitwarden 或 LastPass 在感染期間已經解鎖,憑證也會被竊取。
金融資料外洩也是重要威脅,Atomic Stealer 能從瀏覽器和金融應用裡取得已存的信用卡資訊、銀行帳號與支付資料。此外,竊取來的瀏覽器 Cookie 可讓攻擊者存取不同網路服務的已登入帳號。
系統偵察功能則能讓惡意程式獲取詳細硬體規格、已安裝軟體清單及用戶帳號資訊,協助駭客辨識高價值目標,進一步規劃後續攻擊或社交工程。
持續性與規避偵測技術
Atomic Stealer 採用先進技術維持在受感染系統中的持續性,同時躲避安全軟體的偵測。它會建立多重持續啟動機制,包括開機自動啟動代理程式、登入項目及排程任務,確保重新開機後仍能繼續運作。
此外,程式會使用高度混淆技術來隱藏自身行蹤,如頻繁變更檔案名稱、位置和執行行為,避免觸發傳統防毒軟體常見的特徵碼偵測。
與指揮控制伺服器的聯繫則採用加密通道及網域產生演算法,即使特定惡意網域被封鎖或移除也能維持連線,還可以遙控接收更新指令或下載額外載荷以擴展功能。
對加密貨幣安全生態的衝擊
Atomic Stealer 的出現,代表針對加密貨幣用戶的威脅大幅升級。與以往仰賴瀏覽器攻擊或簡單鍵盤側錄不同,這次的行動展現出高度仿冒正版應用的能力,即使具安全意識的用戶也可能受騙。
金融損失不只波及個人,成功攻擊也削弱用戶對加密貨幣安全措施及硬體錢包產品的信心。Ledger(Ledger Live 原廠)已對此發出安全警示,提醒用戶本次仿冒活動並指導如何分辨正版軟體。
業界安全專家指出,此一攻擊模式有可能被複製到其他熱門加密貨幣應用,比如 Trezor Suite、Exodus 等錢包管理軟體。Ledger Live 仿冒攻擊的成功提供了全生態系仿效的範本。
偵測與移除挑戰
Atomic Stealer 感染不易被用戶或安全軟體察覺。此惡意程式的高階規避與仿冒手法,讓它在例行掃描中難以和正版應用區分。
用戶常常無法即時察覺感染,因為惡意程式在背景運作時,通常讓正規應用如常執行。等到加密資產被竊或專門針對此家族設計的安全防護軟體出現警訊時,才發現為時已晚。
安全研究人員建議民眾使用知名廠牌且已更新的防毒軟體,因為大多數主要資安公司已針對知名 Atomic Stealer 變種加入偵測特徵。不過惡意程式演化迅速,偵測往往落後於最新變種的出現。
防護建議
預防 Atomic Stealer 及類似威脅需多層次防護,結合技術手段與用戶教育。最關鍵的防線是只從官方與驗證過的軟體商店下載應用,避免非官方網站與種子下載平台。
用戶須嚴格管理助記詞,絕不在不確定合法性的應用或網站上輸入還原短語。硬體錢包原廠一再強調,官方應用不會要求助記詞用作日常操作。
定期審查已安裝應用,有助於發現可疑軟體。用戶應檢查程式權限、網路連線與新增的系統修改。
系統及軟體保持最新,確保已修補已知漏洞。可行時建議開啟自動更新,減少遭已知攻擊途徑入侵的風險。
業界回應與未來展望
加密貨幣資安產業已就 Atomic Stealer 威脅升級偵測能力並推動用戶教育。硬體錢包廠商也在開發額外身份認證機制,協助用戶辨識應用合法性。
安全研究仍在追蹤此威脅的演進,並指出新變種持續湧現。這種仿冒應用的攻擊成功,顯示類似手法可能擴及其他高價值目標領域。
這次事件凸顯維持高度警覺在迅速變化的資安環境下極其重要,尤其對管理大量加密資產的用戶而言。隨數位資產愈來愈普及,針對該領域的高階攻擊只會日益嚴重。
總結
Atomic Stealer 惡意程式活動呈現針對加密貨幣用戶威脅的重大進化,展現駭客如何運用社交工程及仿冒技術濫用正版應用信任。Ledger Live 的精密仿冒再次提醒加密生態系需提升安全意識與技術防護。
用戶必須嚴格注意軟體來源、助記詞管理與整體資安操作,才可能徹底守護數位資產。隨著威脅情勢持續變化,唯有用戶教育、技術防禦與產業合作並進,方能強化加密貨幣產業的安全防線。