Найти в Дзене
CISOCLUB
11,1 тыс подписчиков

AMOS: опасный бэкдор и фишинг угрожают безопасности macOS

3 мин
Оглавление
Источник: blog.polyswarm.io
Источник: blog.polyswarm.io

Обновлённый вредонос AMOS с устойчивым бэкдором угрожает владельцам криптовалют и фрилансерам

Исследователи кибербезопасности зафиксировали новое развитие вредоносной программы AMOS, которая получила критически важное обновление — интеграцию скрытого бэкдора, обеспечивающего постоянный доступ к заражённым системам даже после их перезагрузки. Специалисты отмечают, что данный эксплойт представляет серьёзную угрозу, особенно для пользователей macOS, и активно распространяется посредством фишинговых атак и сайтов с нелегальным программным обеспечением.

Основные направления распространения и цели атак

Распространение AMOS охватывает более 120 стран, при этом наибольшее влияние вредоносная кампания оказывает в США, Великобритании, Франции, Италии и Канаде. Основными целевыми группами являются владельцы криптовалют и фрилансеры — именно эти категории подвергаются атакам в первую очередь.

Механизмы заражения включают:

  • Фишинговые письма, замаскированные под приглашения на собеседование;
  • Вредоносные веб-сайты, предлагающие взломанное программное обеспечение;
  • Обманное побуждение пользователей запускать троянские DMG-файлы;
  • Вытягивание системных паролей для доступа к программам совместного использования экрана.

Технические особенности бэкдора AMOS

После успешного заражения AMOS способен извлекать критически важные конфиденциальные данные, включая пароли и seed-фразы для криптовалютных кошельков. Система поддержки бэкдора построена на двух компонентах:

  • Двоичный файл .helper, скрытый в домашнем каталоге жертвы;
  • Сценарий-оболочка .agent, обеспечивающий непрерывное выполнение бэкдора.

Для достижения устойчивости вредонос устанавливает LaunchDaemon с идентификатором com.finder.helper через AppleScript. Это гарантирует автоматический запуск с повышенными привилегиями при старте системы, что достигается за счёт украденных учётных данных пользователя.

Связь с C2 и методы обхода защиты

AMOS поддерживает связь с командами управления (C2) с интервалом в 60 секунд через HTTP POST-запросы, позволяя злоумышленникам дистанционно контролировать и выполнять команды на заражённом устройстве.

Для увеличения скрытности вредоносная программа применяет следующие приёмы:

  • Обфускация строк кода для маскировки вредоносной активности;
  • Проверка виртуализированных сред с помощью команды system_profiler, что затрудняет анализ и обнаружение;
  • Имитация поведения, сходного с известными кампаниями, ассоциирующимися с северокорейскими хакерами, что усложняет атрибуцию и противодействие.

Происхождение и перспективы развития AMOS

Несмотря на сходство с кампаниями, связанными с Северной Кореей, текущая версия AMOS, по имеющимся данным, разработана группами, аффилированными с Россией. В отличие от краткосрочных операций по краже данных, AMOS ориентирован на долгосрочное функционирование с возможностями наблюдения, кейлоггинга и перемещения по внутренним сетям жертвы.

Эксперты ожидают, что в дальнейшем AMOS будет развиваться в рамках модели МaaS (Malware as a Service), включая внедрение расширенных функций кейлоггинга, что существенно повысит риски для пользователей macOS, выходя за рамки традиционных infostealers.

Заключение: необходимость упреждающей защиты

Постоянное улучшение и усложнение AMOS подчёркивает возрастающую опасность для конечных пользователей, особенно в среде macOS, где традиционно уровень защиты считался высоким. Для своевременного противодействия угрозе необходимо:

  • Укреплять информирование пользователей о методах фишинга и особенностях социального инжиниринга;
  • Внедрять усовершенствованные решения по защите конечных точек;
  • Регулярно обновлять системы безопасности и мониторить подозрительные активности;
  • Проводить обучение и подготовку сотрудников, особенно в сферах, связанных с криптовалютами и удалённой работой.

AMOS демонстрирует, что современные киберугрозы становятся всё более изощрёнными и устойчивыми. От своевременной реакции и адекватных мер защиты во многом зависит безопасность как индивидуальных пользователей, так и компаний на глобальном уровне.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "AMOS: опасный бэкдор и фишинг угрожают безопасности macOS".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.