AMOS 惡意軟件：如何識別和防范

AMOS 惡意軟件：如何識別和防范這個能竊取你敏感信息的隱形威脅AMOS 是一種針對 macOS 系統的惡意軟件，它可以竊取用戶的敏感信息，如密碼、銀行賬戶、信用卡號等，并將其發送給遠程服務器。AMOS 還可以下載和執行其他惡意代碼，從而對用戶的設備和數據造成更大的危害。AMOS 的傳播方式主要是通過偽裝成合法的應用程序或文檔，誘騙用戶下載和運行。本文將介紹 AMOS 的背景和目的、主要特征、行為和檢測方法，并給出一些預防和清除的建議。

AMOS 惡意軟件：如何識別和防范

AMOS 的背景和目的

AMOS 是一種由一個名為 APT28 或 Fancy Bear 的黑客組織開發和部署的惡意軟件。該黑客組織被認為與俄羅斯政府有關聯，曾經發動過多次針對政府、軍事、媒體、教育等機構和個人的網絡攻擊。AMOS 的目的是為了收集用戶的敏感信息，以便進行間諜活動、勒索、詐騙等犯罪行為。AMOS 也可能被用作一個跳板，為其他更高級的攻擊提供入口。

AMOS 的特征

AMOS 是一種基于 Python 的惡意軟件，它使用了 py2app 工具將 Python 代碼打包成可執行的 macOS 應用程序。AMOS 的可執行文件通常隱藏在一個 ZIP 壓縮包中，該壓縮包的文件名和圖標會模仿某些流行的應用程序或文檔，如 Adobe Flash Player、Microsoft Word、PDF 文件等。當用戶解壓并雙擊這些文件時，AMOS 會被激活，并在后臺運行。

AMOS 的運行過程分為以下幾個步驟：

AMOS 會首先檢查設備上是否已經存在一個名為 com.apple.questd 的進程，如果存在，則退出運行，以避免被重復感染。

AMOS 會生成一個隨機的字符串作為設備的唯一標識符，并將其保存在 /Users/Shared/.log 文件中。

AMOS 會創建一個名為 com.apple.questd 的 Launch Agent，并將其保存在 /Library/LaunchAgents/ 目錄下。該 Launch Agent 會在每次設備啟動時自動運行 AMOS。

AMOS 會連接到一個預設的遠程服務器，并發送設備的唯一標識符、操作系統版本、用戶名、IP 地址等信息。

AMOS 會接收來自遠程服務器的指令，并根據指令執行相應的操作。這些操作包括：

竊取用戶的瀏覽器歷史記錄、Cookie、書簽等數據，并將其壓縮成 ZIP 文件發送給遠程服務器。

竊取用戶的 Keychain 中保存的密碼、銀行賬戶、信用卡號等數據，并將其加密后發送給遠程服務器。

下載并執行遠程服務器提供的其他惡意代碼，如木馬、勒索軟件、挖礦軟件等。

刪除或修改用戶的文件或系統設置，造成數據丟失或系統崩潰。

AMOS 的檢測方法:

? 檢查設備上是否有 /Users/Shared/.log 文件，該文件是 AMOS 保存設備唯一標識符的地方。

? 檢查設備上是否有
/Library/LaunchAgents/com.apple.questd.plist 文件，該文件是 AMOS 創建的 Launch Agent。

? 檢查設備上是否有名為 com.apple.questd 的進程在運行，該進程是 AMOS 的主要組件。

? 使用可靠的殺毒軟件或安全工具掃描設備，查找并刪除 AMOS 及其相關的文件和進程。?