eSentire 威胁响应部门（TRU）发现了一场新的攻击活动，该活动使用  Poseidon Stealer 恶意软件来针对 Mac 用户。此次攻击活动利用了一个模仿合法的 DeepSeek 平台的虚假网站，诱骗用户下载并执行恶意负载。

感染过程始于用户被重定向到一个虚假的 DeepSeek 网站（deepseek.exploreio [.] net），通常是通过恶意广告被引导过去的。这个虚假网站与真正的 DeepSeek 网站极为相似，欺骗用户点击一个 “立即开始” 按钮，点击后会跳转到一个下载页面。当用户点击 “下载适用于 Mac OS 的版本” 时，就会下载一个恶意的 DMG 文件。

假冒 DeepSeek 网站 |来源：TRU

下载的 DMG 文件中包含一个伪装成 DeepSeek 应用程序的 shell 脚本。当用户将这个 “应用程序” 拖放到终端（Terminal）中时，该脚本就会执行，从而绕过macOS GateKeeper安全措施。随后，该脚本会下载并执行Poseidon Stealer恶意负载。

Poseidon Stealer 是一种恶意软件即服务（MaaS），它的目标是从基于 Chromium 或Firefox的浏览器中窃取敏感数据，包括信用卡信息、密码、书签以及加密货币钱包数据。它还会收集系统信息，窃取钥匙串数据库，并从Desktop、Downloads 和 Documents目录中盗取文件。

此次攻击利用通过终端执行的方法绕过了 GateKeeper 的保护机制。Poseidon Stealer恶意负载采用了反调试和字符串加密技术，以阻碍对其进行分析。该恶意软件还会进行检测，判断自己是否在沙盒环境或研究环境中运行，如果检测到是这样的环境，它就会自行终止运行。

用户应保持警惕，防范虚假的软件下载网站，并采取积极主动的安全措施来降低风险。