Новая версия вредоносного ПО Atomic Stealer, нацеленная на пользователей macOS, получила опасное обновление: теперь она оснащена полноценным скрытым бэкдором, обеспечивающей злоумышленникам постоянный и незаметный доступ к заражённым системам. Этот компонент позволяет выполнять удалённые команды, сохраняется после перезагрузки и обеспечивает полный контроль над устройствами жертв.
Специалисты из подразделения Moonlock компании MacPaw провели технический разбор новой версии после сообщения от независимого аналитика, известного под псевдонимом g0njxa. Ранее этот вредонос уже охватил более 120 стран, и наибольшее количество заражений зафиксировано в США, Франции, Италии, Великобритании и Канаде. С обновлением, получившим компонент бэкдора, у программы появились возможности перехвата полного контроля над тысячами устройств Apple по всему миру.
Atomic Stealer впервые был описан весной 2023 года и распространялся по модели MaaS — вредонос как услуга — через каналы в Telegram за $1000 в месяц. Основной целью зловреда являются файлы macOS, криптовалютные расширения и пароли, сохранённые в браузерах. Осенью 2023 года вредонос стал частью первой атаки в рамках ClearFake-кампании на macOS, а спустя год — в сентябре 2024-го — его использовала группа Marko Polo в массовом заражении Apple-устройств.
Если раньше дистрибуция шла через взломанные программы и сторонние сайты, то сейчас распространение стало точечным. Хакеры начали рассылать фишинговые письма владельцам криптовалютных кошельков и предлагать фальшивые собеседования для фрилансеров.
Исследованная версия Atomic содержит встроенный бэкдор, использует LaunchDaemons для сохранения в системе после перезагрузки и отслеживает жертв по уникальным идентификаторам. Также был зафиксирован переход на новое командное управление и инфраструктуру связи.
Основной файл бэкдора — исполняемый бинарный файл с названием «.helper». После заражения он сохраняется в директории пользователя в скрытом виде. Его запуск обеспечивает скрипт «.agent», также скрытый, который непрерывно запускает вредонос как текущий пользователь. Для автозапуска используется LaunchDaemon с названием com.finder.helper, устанавливаемый с помощью AppleScript. При этом выполняются действия с повышенными правами, которые злоумышленники получают, похитив пароль пользователя на начальной стадии заражения.
После установки программа способна выполнять команды, устанавливать другие вредоносы, фиксировать нажатия клавиш и перемещаться по внутренней сети. Она маскируется от систем анализа, проверяя наличие песочниц и виртуальных машин через system_profiler. Кроме того, применяются техники обфускации строк, чтобы скрыть поведение программы от анализаторов.
Наблюдаемая эволюция Atomic свидетельствует о повышенном интересе злоумышленников к macOS и стремительном росте уровня их технической подготовки. Противостоять таким кампаниям становится всё сложнее, особенно в условиях, когда вредоносы теперь не просто крадут данные, но и обеспечивают долгосрочное присутствие на устройствах.