網路安全研究人員揭露一場針對持有加密貨幣的 macOS 用戶的大規模精密惡意軟體攻擊行動。這款名為 Atomic Stealer (AMOS) 的惡意軟體,專門偽裝成熱門 Ledger Live 應用程式,竊取用戶貴重的加密錢包助記詞,並將其數位資產一掃而空。
最令人擔憂的是,這款惡意軟體會將合法的 Ledger Live 應用程式替換為幾乎一模一樣的惡意複製品。一旦裝置被安裝,這個假應用會彈出欺詐訊息,要求用戶輸入 24 字助記詞,聲稱是進行安全驗證或錢包同步所需。
這種社交工程攻擊利用了用戶對正牌 Ledger Live 的信任,而該應用為管理 Ledger 硬體錢包的常用工具。受害者一旦輸入助記詞,機密資訊就會即時被傳送到攻擊者操控的指揮伺服器,讓駭客能完全掌控受害的加密錢包。
包括 Unit 42、Intego 和 Moonlock 在內的多家安全公司皆已確認此攻擊技術正在活躍運作,受害者回報損失金額動輒數百到上千美元的加密貨幣。
散播方式與初始感染管道
Atomic Stealer 利用多種複雜的分發管道接觸潛在受害者。主要感染途徑包含仿冒正規軟體下載頁面的釣魚網站、在熱門網站投放的惡意廣告、以及遭到入侵軟體倉庫等。
攻擊者常用搜尋引擎最佳化(SEO)來讓惡意下載網站在用戶搜尋正規應用程式時優先顯示。這些假網站通常具備十分逼真的官方品牌設計,甚至包含偽造評價與用戶見證。
另一常見方式是提供熱門付費軟體的破解版或盜版。尋找免費方案的用戶往往會無意中下載附帶 Atomic Stealer 惡意載荷的安裝包。
這類惡意安裝包經常使用被竊或偽造的數位簽章,得以繞過基本的安全檢查,對作業系統及安全軟體看起來像是合法程式,進一步提升初次感染成功率。
全面資料竊取功能
Ledger Live 偽裝僅是 Atomic Stealer 金錢損失最嚴重的一面,此惡意軟體還具備極廣泛的資料竊取能力,範圍遠超加密貨幣應用。安全分析顯示其可從 50 多種加密貨幣錢包瀏覽器擴充套件(如 MetaMask、Coinbase Wallet、Trust Wallet 等)竊取敏感資訊。
此外,惡意軟體會從主流瀏覽器如 Safari、Chrome、Firefox 和 Edge 系統性地竊取儲存的密碼;若在感染期間密碼管理員(例如 1Password、Bitwarden、LastPass)處於解鎖狀態,也會被盜取憑證。
金融資料安全同樣面臨威脅,Atomic Stealer 能從瀏覽器和金融應用擷取已儲存的信用卡資訊、銀行帳號及支付處理數據。此外,它還會蒐集瀏覽器 Cookies,讓攻擊者登入受害者的各種線上帳戶。
系統偵查功能可讓惡意軟體掌握詳細硬體規格、已安裝軟體清單及用戶帳戶資料,幫助攻擊者挑選高價值目標,策劃後續攻擊或社交工程行動。
滯留與規避偵測技巧
Atomic Stealer 運用高階手法,確保能在受感染系統中維持存在並規避安全軟體偵測。它會建立多重滯留機制,包括啟動代理、登入項目、排程任務等,即便系統重啟後依然運作。
此惡意程式會用進階混淆技巧隱藏於系統、規避防毒軟體及監控工具。頻繁變更檔案名稱、位置和執行模式,可閃避傳統安全解決方案的特徵碼偵測。
與指揮伺服器的網路通訊則透過加密通道與網域產生演算法進行,確保即使部分惡意網域被封鎖或下架仍可維持連線,並能接收指令或下載其他載荷,擴充功能。
衝擊加密貨幣安全生態
Atomic Stealer 的出現,讓針對加密貨幣用戶的威脅大幅升級。和過往主要依賴瀏覽器攻擊或單純截鍵相比,此次行動展現精細的應用程式偽裝能力,連資安意識高的用戶都難以防範。
金融損失不僅影響個別受害者,相關攻擊也削弱用戶對加密貨幣安全規範及硬體錢包方案的信心。Ledger 原廠已發出安全警示,提醒用戶注意偽裝軟體,並提供辨識建議。
產業安全專家指出,此攻擊模式可能仿效至其他熱門加密貨幣應用,包含 Trezor Suite、Exodus 等錢包管理軟體。Ledger Live 偽裝行動的成功,顯示整個加密貨幣生態系易受類似威脅。
偵測與移除挑戰
要偵測 Atomic Stealer 感染對使用者與安全軟體都極具挑戰性。該惡意軟體具備高級規避技術與仿真合法應用行為,常在例行掃瞄中難以區辨。
用戶通常難以立即察覺感染,因為惡意軟體常會讓正規應用正常運作而潛伏於後台。待加密資產遭竊或針對此類威脅的專用安全軟體部署後,才可能發現異常。
安全研究人員建議使用大廠牌最新版防毒軟體,因為各主要安全公司已針對已知 Atomic Stealer 變種加入偵測碼;但惡意軟體快速演化,新變種容易繞過即時偵測。
防護策略
防範 Atomic Stealer 及同類威脅,需採「多層防護」結合技術管控與用戶教育。其中最重要的是僅從官方管道與認證商店下載軟體,避免第三方下載網站或 BT 種子資源。
用戶應嚴格管理助記詞,除非完全確認合法,絕不在任何應用程式或網站輸入助記詞。硬體錢包廠商也持續強調,正規軟體絕不會為日常操作要求輸入助記詞。
定期檢視已安裝應用,有助揪出可疑軟體。用戶應審查應用的權限、網路連線、以及近期安裝程式對系統的修改狀況。
保持作業系統及應用程式更新,確保已知漏洞可即時獲得修補。建議啟用自動更新以減少被攻擊機會。
產業回應與後續展望
加密貨幣安全產業面對 Atomic Stealer 威脅,已加速提升偵測及用戶教育力道。硬體錢包廠商正開發更多身份驗證機制協助用戶辨別軟體真偽。
資安研究人員仍持續追蹤該威脅演進,並觀察新變種不斷出現。應用程式偽裝攻擊的成功案例,示意此技術可能擴及至其他高價值目標。
此事件凸顯在網路安全變化快速的環境下,用戶若持有大量加密資產,必須時刻保持警覺。隨著數位資產日漸主流,針對這類資源的精密攻擊預期將持續增加。
最後總結
Atomic Stealer 惡意軟體攻擊活動,標誌著針對加密貨幣用戶威脅的重大進化,顯示網路罪犯正精進其技巧並利用用戶對合法應用的信任。Ledger Live 精密仿冒案例突顯加密貨幣生態系需提升用戶安全意識及技術攔截。
用戶必須更加警覺軟體來源、嚴審助記詞管理,並實踐一般網路安全準則,以保障自身數位資產。隨著威脅持續發展,用戶教育、技術防護及產業合作將是維護加密貨幣空間安全的關鍵。