macOS давно считается одной из самых защищённых пользовательских платформ, однако новая модификация вредоносного ПО Atomic Stealer опровергает это представление. Исследование, проведённое специалистами команды Moonlock (входит в MacPaw), показало, что обновлённый зловред получил скрытый удалённый доступ и может поддерживать полный контроль над системой даже после перезагрузки.
Поводом для анализа послужило сообщение от независимого исследователя под псевдонимом g0njxa. Эксперты установили, что вредоносная программа получила скрытый бэкдор, способный выполнять удалённые команды, устанавливать сторонние приложения, перехватывать ввод с клавиатуры и распространяться в пределах локальной сети. В совокупности эти функции превращают заражённый Mac в полностью контролируемую внешними операторами систему.
Atomic Stealer впервые появился весной 2023 года и продавался по модели MaaS (malware-as-a-service) через Telegram за $1000 в месяц. Изначально его задачей была кража паролей, данных криптовалютных кошельков и локальных файлов macOS. Осенью того же года он был замечен в рамках атаки ClearFake, а в сентябре 2024 года использовался хак-группировкой Marko Polo.
Если ранее вредонос распространялся преимущественно через взломанные приложения и сомнительные ресурсы, то сейчас акцент сместился на целевые фишинговые атаки. Основными жертвами стали владельцы криптовалют и фрилансеры. Им рассылаются письма с предложениями пройти интервью, внутри которых — вредоносные ссылки или документы.
В новой версии особое внимание уделено маскировке и устойчивости в системе. Используется LaunchDaemon под названием com.finder.helper, который запускается автоматически после загрузки. Вредонос сохраняется в пользовательской директории под именем .helper, активируется через скрипт .agent, действует от имени текущего пользователя и остаётся невидимым без специализированных инструментов анализа.
В момент заражения хакеры перехватывают пароль пользователя, что позволяет им получить права доступа на выполнение чувствительных операций. Программа также применяет методы защиты от анализа, включая проверку наличия виртуальных сред и инструментов песочницы с помощью system_profiler, а также обфускацию строк, затрудняющую исследование кода.
Оригинал публикации на сайте CISOCLUB: "Новая версия Atomic Stealer превращает macOS в полностью управляемую хакерами систему с постоянным скрытым доступом".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.