macOS 用戶受威脅：惡意軟件偽裝 Ledger Live 盜取加密貨幣

網絡安全專家發現一個高級惡意軟件攻擊行動，針對持有加密貨幣的 macOS 用戶。此惡意軟件名為 Atomic Stealer (AMOS)，專門偽裝成知名的 Ledger Live 應用，盜取加密貨幣錢包的助記詞，並竊取受害者的數碼資產。

最令人擔憂的是，相關問題涉及該惡意軟件幾乎完整複製正版 Ledger Live，並取而代之。安裝後，偽冒應用會顯示極具欺騙性的彈窗，要求用戶輸入 24 字詞恢復碼以「驗證安全」或同步錢包。

此社交工程手法利用用戶對正牌 Ledger Live 的信任。當受害者輸入助記詞後，敏感資料會即時被傳送到駭客控制的伺服器，使對方可完全掌控其加密貨幣錢包。

多間安全公司，包括 Unit 42、Intego 及 Moonlock，均證實出現這類攻擊，並有受害者報告損失由數百至數千美元不等的加密資產。

傳播方式與感染途徑

Atomic Stealer 利用多種複雜的傳播渠道攻擊潛在受害者。主要感染途徑包括：精心設計的釣魚網站（模仿合法下載網站）、於熱門網站投放惡意廣告，以及入侵軟件倉庫。

攻擊者經常採用搜索引擎優化技術，令其惡意網站在搜尋正版應用時更易被找到。這些偽站通常會複製官方品牌風格，更可能加入偽造評價或用戶見證。

另一常見方式是提供受歡迎付費軟件的破解或盜版版本。用戶為免付費而下載時，會連同安裝 Atomic Stealer 有害組件。

惡意安裝程式經常使用被盜或偽造的數碼證書簽署，成功繞過基本安全檢查，更容易被作業系統與安全軟件信任，令感染率大增。

雖然假冒 Ledger Live 對財務打擊最大，Atomic Stealer 其實能竊取遠超加密應用範疇的數據。安全分析發現它能從超過 50 款錢包瀏覽器擴充元件（包括 MetaMask、Coinbase Wallet、Trust Wallet 等）提取敏感資料。

此外，該惡意軟件能從主流瀏覽器（包括 Safari、Chrome、Firefox、Edge）盜取儲存密碼。就算是 1Password、Bitwarden、LastPass 等密碼管理工具，只要在感染時已解鎖，資料也會被提取。

財務資料同樣備受威脅，Atomic Stealer 可從瀏覽器及金融應用中盜取儲存的信用卡、網上銀行帳戶及付款資料，並收集 Cookies，助攻擊者取得各類已登入帳戶。

系統偵查功能容許該惡意軟件收集硬件規格、已安裝軟件及用戶帳戶資料，有助篩選高價值受害者，進一步計劃攻擊或社交工程。

Atomic Stealer 具備多項常駐及規避技巧，例如創建啟動代理、登入項目及排程任務，確保即使重啟也能持續運作。

它還利用進階混淆技術，隱藏於防病毒及系統監控工具視線之外，經常更改檔案名稱、位置與執行模式，繞過依賴簽名比對的傳統防護軟件。

與指揮控制伺服器的通訊經過加密，並用域名生成演算法，即使某些惡意網域被阻擋或移除，亦可保持連接及接收進一步指令或下載新組件以擴展功能。

Atomic Stealer 的出現，標誌著針對加密用戶的威脅明顯升級。不同於以往依賴鍵盤紀錄或瀏覽器攻擊的惡意軟件，這次證明偽裝應用程式的手法足以欺騙有安全意識的用戶。

財務損失遠超個別受害者，整體信心及硬件錢包方案都受影響。Ledger 官方已發出警告，要求用戶提高警覺，並提供分辨正版軟件的方針。

行業安全專家指，這種攻擊模式有機會擴展至其他熱門加密錢包（如 Trezor Suite、Exodus 等）及相關管理軟件。Ledger Live 事件成為類似攻擊的參考藍本，其他項目亦可能受波及。

無論用戶或防毒軟件，偵測 Atomic Stealer 感染都極具困難。其進化偽裝能力與真實應用行為相似，一般系統掃描不易識別異常。

惡意軟件往往容許正規應用如常運作，在背景潛伏，直至資產被竊或專門工具攔截，受害者才察覺問題存在。

研究人員建議使用知名廠牌的最新防毒方案，大部份主流產品已能識別已知的 Atomic Stealer 變體。但隨著惡意軟件快速更新，追上所有新變異版仍有時滯。

防禦 Atomic Stealer 及類似威脅需多層保安，結合技術手段與用戶教育。最重要是只從官方或核實的應用商店下載，避免第三方及 torrent 網站。

用戶必須嚴格管理助記詞，只在完全確定應用或網站可信下，才輸入復原碼。硬件錢包廠商一再強調，正規應用不會隨便要求輸入助記詞。

定期安全審查已安裝應用，檢查程式權限、網絡連線及新安裝軟件所更改的系統設定，有助及早發現可疑軟件。

保持作業系統及應用最新，及時修補已知漏洞，亦能減低遭駭客利用機會。建議啟用自動更新功能。

加密安全界對 Atomic Stealer 威脅作出回應，包括提升偵測力及加強用戶教育。硬件錢包廠商正研發額外驗証機制，助用戶判斷應用真偽。

安全研究人員持續監察此威脅的演變，惡意變體層出不窮。應用程式偽冒攻擊的成功，顯示這類技術或會應用至加密資產以外的高價值目標。

事件凸顯在不斷變化的網絡威脅環境下，相關用戶必須加倍警惕。隨數碼資產逐漸普及，針對這些資源的高級攻擊亦只會愈來愈多。

Atomic Stealer 攻擊展現了針對加密貨幣用戶的新型態威脅，凸顯駭客如何利用用戶對正規應用的信任。Ledger Live 的高仿冒偽裝，反映加密產業需要提升安全意識與技術配套。

用戶需時刻警覺軟件來源、助記詞管理及總體網絡保安意識，才能保障個人資產安全。面對快速演化的威脅，教育、技術防禦與產業合作三者缺一不可，才能維持加密世界的安全。