近期网络安全专家揭露了一场名为“假冒DeepSeek活动”的网络攻击，该事件针对Mac用户，利用Poseidon Stealer这一恶意软件进行数据窃取。这一恶意软件专门设计用来捕捉用户的敏感信息，包括浏览器存储的密码、信用卡信息等，并通过伪装成合法应用程序的方式来进行传播。

Poseidon Stealer是一种恶意软件即服务（Malware-as-a-Service，MaaS），其在多个Telegram和黑客论坛上由名为“Rodrigo4”的用户进行出售，月租价格高达3000美元。攻击者通过类似DeepSeek的假冒网站，利用社交工程手段，引诱用户下载该恶意软件，进而窃取用户的敏感信息。

根据eSentire Threat Response Unit（TRU）的调查，Poseidon Stealer主要通过虚假的DeepSeek网站深入渗透用户系统。在用户访问该伪网站后，会被引导下载一个假冒的Mac OS安装包“DeepSeek_v.[0-9].[0-9]{2}.dmg”。该安装包的实际内容并非合法的DeepSeek程序，而是一个shell脚本。用户被指示打开终端，并将该脚本拖入终端执行，这一行为直接启动了恶意软件的安装过程。

在用户下载并开启恶意DMG文件后，脚本会通过“osascript”命令执行AppleScript，启用该恶意软件，并开始收集用户的个人信息。Poseidon Stealer的工作流程相当复杂：它不仅能够提取包括密钥链数据库在内的敏感文件，还能捕捉用户浏览器中的Cookies、书签、自动填充信息，以及加密钱包的私钥等。所有收集到的信息都通过加密的指令外泄到攻击者的命令控制（C2）服务器上。

除了高度的窃取能力外，Poseidon Stealer还设计有多种持久性和隐蔽技术。该恶意软件通过修改macOS的plist文件来确保在每次系统启动后都自动执行，并通过合法的系统进程来避免被监测到。此外，它还能清除文件的原有属性，以减少被检测的风险。

此事件引发了广泛的关注，尤其是因为它挑战了人们关于Apple设备安全性的传统观念。许多人认为Mac比Windows更加安全，但这一事件表明，随着macOS用户数量的不断增加，网络攻击者也在不断发展新技术，利用社交工程手段改善他们的攻击效果。

在安全专家的分析中，用户易受攻击的原因主要包括缺乏警惕和对文件来源的不加辨别。为了防止类似事件的发生，专家提出了几条防范建议。用户应当始终确认应用软件的来源，避免从非官方网站或不明链接下载软件。在网络安全方面，组织和个人也应部署下一代防病毒（NGAV）及终端检测与响应（EDR）解决方案，以检测和阻止此类攻击。

此外，定期进行安全意识培训也至关重要。用户需要了解常见的网络钓鱼手法以及如何甄别伪造的应用程序。此外，可以通过设备管理系统（MDM）限制对一些命令的访问，以降低风险。

Poseidon Stealer的感染事件仅是一个缩影，反映了当前网络安全环境的复杂与危险。在面对日益猖獗的网络攻击时，用户与组织都需保持高度警觉，并积极采取措施来保护自身的数字资源。

在此背景下，eSentire的Threat Response Unit（TRU）提醒大家，未来的网络安全战斗将需要不断更新技术和防护措施，以适应攻击者不断变化的策略。确保应用程序和数据的安全，是每个用户和组织当前最重要的任务。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课