Atomic macOS Stealer (AMOS) представляет собой сложную вредоносную программу, нацеленную на системы macOS и предназначенную для извлечения конфиденциальной пользовательской информации. Обнаруженная в 2024 году, она активно распространяется с помощью обманных тактик, оказывая серьезное влияние на пользователей платформы.
Что собирает AMOS?
AMOS нацелена на извлечение следующих типов данных:
- Пароли для связки ключей;
- Системные данные;
- Файлы из каталогов рабочего стола и документов;
- Данные из веб-браузеров, включая файлы cookie и учетные данные для входа;
- Информация из криптовалютных кошельков, таких как Electrum, Binance, Exodus, Atomic и Coinomi.
Методы распространения и атаки
Вредоносная программа использует поддельные рекламные объявления, которые ведут на фальшивые сайты с вредоносными файлами образов дисков (.dmg). Пользователи, не подозревающие о угрозе, могут случайно загружать и запускать эти приложения, которые предлагают обойти функции безопасности macOS, такие как Gatekeeper.
Следует отметить, что выполнение команд часто происходит под обманом, заставляя пользователей выполнять команды терминала, что позволяет вредоносному ПО обходить стандартные меры безопасности.
Технологии и механизмы AMOS
AMOS использует AppleScript для выполнения вредоносных действий, включая создание обманчивых диалоговых окон, имитирующих законные системные запросы. Это позволяет:
- Перехватывать пароли пользователей;
- Повышать привилегии;
- Получать доступ к другим конфиденциальным областям системы.
Чтобы избежать обнаружения, вредоносное ПО применяет методы обфускации, такие как XOR-кодирование полезной нагрузки, что затрудняет статический анализ и помогает обойти традиционные системы обнаружения.
Оперативные тактики AMOS
С точки зрения оперативной тактики, AMOS выполняет разведку системы с помощью команд, собирая информацию об устройстве жертвы. Она компилирует критически важную информацию, после чего:
- Сжимает собранные данные в ZIP-архивы;
- Отправляет их на командно-контрольные серверы через HTTP POST-запросы.
Рекомендации по защите
Организациям рекомендуется внедрять специализированные для macOS решения, такие как EDR (Endpoint Detection and Response), которые способны:
- Мониторить поведение AppleScript;
- Выявлять подозрительные взаимодействия с конфиденциальными файлами.
Разработка программ реагирования на инциденты, адаптированных под угрозы macOS, в сочетании с регулярным тестированием сценариев атак, подобных AMOS, значительно повысит уровень готовности к обнаружению и реагированию на кибератаки.
Понимание TTP (Tactics, Techniques, and Procedures) AMOS и использование поведения-ориентированных механизмов обнаружения позволят защитникам более эффективно защищать пользователей macOS от этой растущей угрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Atomic macOS Stealer: Новая угроза для пользователей macOS".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.