资安公司CloudSEK揭露一波针对macOS用户的攻击事件，骇客集团假冒美国电信业者Spectrum注册相关网域，结合ClickFix网钓流程，散布新版Atomic macOS Stealer（AMOS）恶意程序。攻击行动自5月下旬开始活跃，骇客设置与Spectrum相关的钓鱼网站，诱使受害者下载并执行AMOS恶意程序，进而窃取凭证、浏览器快取、加密货币钱包及其他敏感资料。

研究人员指出，骇客注册多个与Spectrum高度相似的假冒网域，诱导用户进入钓鱼网站。网站会引导用户进行验证操作，画面设计模仿常见验证介面，诱使点击替代验证按钮，实则将攻击脚本複製到剪贴簿，并要求用户在终端机执行。

骇客会根据用户作业系统，自动切换不同的攻击脚本，本次攻击主力锁定macOS用户，攻击流程会透过bash指令下载恶意壳层脚本，该脚本会反覆提示用户输入系统密码，并以macOS本地验证指令确认密码正确性。在取得有效密码后，脚本将凭证储存至暂存目录，随后自远端服务器下载恶意执行档，利用sudo权限清除安全隔离标记，并将其设为可执行档后执行。

研究人员提到，攻击者在6月初设立伪造的Homebrew软件库，利用广告钓鱼诱导以Homebrew为开发工具的开发者误入假网域，下载并执行恶意安装脚本，造成AMOS变种程序植入系统。该假冒软件库会切换指向真正Homebrew安装页面，或攻击者控制的服务器，提升钓鱼网站的真实性并增加追蹤困难度。

假冒网站原始码存在俄语注解，且其命令与控制服务器资讯与过往俄语地区骇客团体所用特徵相符，研究人员认为本次行动疑似由俄语地区骇客发动。部分攻击网页前端存在逻辑错误，例如针对不同作业系统显示不一致的指令提示，或向macOS用户显示Windows快捷键操作，凸显出攻击基础架构组装较为仓促，但其社交工程诱骗与针对性设定仍有高安全风险。