В феврале 2025 года кибербезопасность вновь испытала удар с появлением вредоносной программы AMOS Stealer. Этот мощный инструмент для кражи данных использует osascript для выполнения AppleScript и демонстрирует, как меняется ландшафт киберугроз с ростом моделей «Вредоносное ПО как услуга».
Спецификации и возможности AMOS Stealer
AMOS Stealer, стоимостью 3000 долларов в месяц, тесно связан с хакером, известным как «ping3r», и имеет много общего с Poseidon Stealer, который был создан человеком, назвавшимся «Rodrigo4». Этот тип вредоносного ПО нацелен на сбор конфиденциальной информации из популярных браузеров, таких как Chromium и Firefox, включая:
- данные кредитных карт;
- пароли;
- закладки;
- данные автозаполнения;
- учетные данные криптовалютных кошельков.
Методы скрытности и распространения
AMOS Stealer активно собирает системную информацию и данные о сеансах Telegram, извлекая файлы из трех основных каталогов: «Рабочий стол«, «Загрузки» и «Документы«, уделяя особое внимание конкретным расширениям файлов. Чтобы повысить свою скрытность, программа использует:
- Методы защиты от отладки;
- Системный вызов ptrace() для обнаружения отладчиков.
Первоначальный способ доступа к AMOS Stealer зачастую связан с вредоносной рекламой, которая перенаправляет пользователей на поддельный сайт DeepSeek. Этот мошеннический ресурс предлагает загрузить замаскированный сценарий оболочки, встроенный в DMG-файл. После загрузки скрипт выполняет команды, которые:
- изменяют атрибуты файла для сокрытия вредоносного ПО;
- помечают двоичный файл как исполняемый.
Безопасность упрощает работу с данными
AMOS Stealer активно управляет своим присутствием, прекращая сеансы терминала для скрытия своей активности во время сбора данных. Фильтрация данных осуществляется путем:
- архивирования собранной информации;
- передачи данных на сервер управления (C2) с помощью POST-запросов.
К типам украденных данных относятся:
- файлы cookie браузера;
- учетные данные для входа;
- содержимое связки ключей;
- файлы с различными указанными расширениями.
Корректировка классификации
Согласно последним обновлениям, была уточнена классификация данного вредоносного ПО. Первоначально оно было ошибочно отнесено к Poseidon Stealer, но в настоящее время подтверждено как AMOS Stealer. Это изменение подчеркивает важность точной информации об угрозах и необходимость коллективного понимания киберугроз.
Заключение
Различные домены, связанные с AMOS Stealer, включая поддельные веб-сайты DeepSeek, играют ключевую роль в его распространении и реализации. Это подчеркивает оперативную тактику хакеров и современные тенденции киберпреступности, вызывая необходимость усиления мер по защите информации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "AMOS Stealer: Новая угроза в кибербезопасности 2025 года".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.