Исследователи из Moonlock Lab обнаружили серьезную эволюцию в одном из самых активных вредоносных ПО для macOS. Atomic macOS Stealer (AMOS) — популярная программа для кражи данных — получила крупное обновление, включающее встроенный бэкдор. Это первый случай такого масштабного развертывания бэкдора против Мак-пользователей со времен атак северокорейских хакеров.
Новые возможности AMOS позволяют злоумышленникам поддерживать постоянный доступ к зараженному Маку, выполнять произвольные команды с удаленных серверов и получать расширенный контроль над скомпрометированными устройствами. Это представляет наивысший уровень риска, который специалисты Moonlock наблюдали от данного вредоносного ПО. Кампании AMOS уже охватили более 120 стран, при этом наиболее пострадавшими оказались США, Франция, Италия, Великобритания и Канада.
Российская группа киберпреступников, стоящая за AMOS, долгое время специализировалась на краже данных из криптовалютных расширений браузеров и холодных кошельков. Теперь же угроза больше не ограничивается похищением учетных данных или документов — она открывает дверь к полной компрометации системы. Вредоносная программа может удаленно выполнять произвольные команды, получать полный доступ на пользовательском уровне и сохранять присутствие в macOS даже после перезагрузки.
Почему группу злодеев называют именно российской. Во-первых, командные серверы AMOS располагаются в российских дата-центрах, а IP-адреса (45.94.47.145 и 45.94.47.147) принадлежат хостинг-провайдерам из России. Во-вторых, анализ внутренних чатов группировки, полученных от информатора @g0njxa, показал использование русского языка в общении между разработчиками.
Технические особенности кода также указывают на российское происхождение. В частности, временные метки компиляции соответствуют московскому часовому поясу, а некоторые комментарии в коде содержат кириллические символы. Исследователи отмечают схожесть методов работы с другими известными российскими группами киберпреступников.
Стоит отметить, что AMOS активно рекламируется на русскоязычных хакерских форумах как «программа для кражи данных». При этом авторы намеренно блокируют работу вредоносного ПО на компьютерах с русской локализацией — типичная практика для киберпреступников из СНГ.
Впрочем, эксперты подчеркивают, что однозначно установить географическую принадлежность хакерской группы крайне сложно из-за использования средств анонимизации и намеренной дезинформации. Тем не менее, совокупность косвенных признаков позволяет с высокой вероятностью говорить о российском следе.
Распространение AMOS происходит двумя основными способами: через веб-сайты с пиратским или поддельным программным обеспечением и целевые фишинговые кампании против владельцев больших криптовалютных активов. Особенно коварным является метод «поддельного собеседования», когда жертву просят ввести системный пароль якобы для включения демонстрации экрана. После выполнения вредоносная программа может извлекать конфиденциальные данные, включая пароли и seed-фразы, а также устанавливать постоянный бэкдор.
Техническая реализация угрозы впечатляет своей изощренностью. Вредоносное ПО создает файл PLIST через launchctl — типичную технику для сохранения активности после перезагрузки macOS. Бэкдор загружается с удаленного сервера и действует как исполняемый файл второго уровня, скрытый под именем «.helper» в домашней директории пользователя. Для обеспечения постоянной работы создается дополнительный скрипт «.agent», который служит промежуточным слоем между LaunchDaemon и основным бэкдором.
Эксперты прогнозируют дальнейшее развитие этой угрозы, поскольку разработчики AMOS явно следуют по стопам северокорейских хакерских групп. Комбинация готового к использованию стилера с функциональностью бэкдора не только повышает техническую сложность группы, но и значительно увеличивает риск для жертв. Это превращает разовое нарушение безопасности в долгосрочную компрометацию системы.
Будьте бдительны!
