Кампания AMOS Stealer представляет собой серьёзную и адаптивную киберугрозу, нацеленную на пользователей macOS. Злоумышленники распространяют вредоносное ПО Atomic macOS Stealer (AMOS) через «взломанные» версии легальных приложений и с помощью скриптов, исполняемых в терминале, что позволяет обходить встроенные механизмы защиты Apple, включая Gatekeeper.
Как происходит заражение
Исследователи выявили два основных пути доставки AMOS:
- Загрузка скомпрометированного ПО с сайтов, распространяющих взломанные приложения (например, посещения сайтов вроде haxmac.cc), которые перенаправляют пользователей на страницы с установщиками AMOS.
- Прямая работа через терминал macOS: пользователям предлагается скопировать и вставить команды, загружающие и выполняющие скрипты установки из внешних доменов (например, letrucvert.com или goatramz.com), что эффективно обходит Gatekeeper.
Что умеет AMOS
Функциональность вредоносного ПО обширна — AMOS нацелен на сбор конфиденциальных данных и может:
- извлекать учётные данные и данные браузера;
- получать доступ к информации о криптовалютных кошельках;
- копировать чаты Telegram и профили VPN;
- чтение заметок Apple и файлов из общих папок.
Особенности тактики злоумышленников
Кампания демонстрирует высокую тактическую адаптивность. Злоумышленники используют сменяющиеся домены и вариативные скрипты, чтобы затруднить обнаружение и удаление вредоносного ПО. По мере того как Apple усиливает защиту (включая усовершенствованные протоколы в macOS Sequoia), атакующая сторона быстро адаптирует свои методы, делая упор на установки через терминал и социальную инженерию.
«Тактическая адаптивность кампании AMOS примечательна, особенно в свете продолжающихся улучшений безопасности Apple.»
Кому угрожает и почему это важно
Риски распространяются как на частных пользователей, так и на корпоративные сети. Поскольку macOS всё чаще используется в профессиональной среде, успешные атаки на такие устройства способны привести к утечке учётных данных сотрудников, доступов к корпоративным ресурсам и финансовым потерям.
Рекомендации по защите
Противодействие кампании AMOS требует многоуровневого подхода:
- не устанавливать «взломанное» или подозрительное ПО и проверять подлинность источников загрузки;
- не копировать и не выполнять команды из непроверенных источников в терминале;
- использовать средства Endpoint Visibility и сетевой мониторинг для обнаружения атипичного поведения и исходящих соединений на сменяющиеся домены;
- внедрять политики контроля приложений и регулярно обновлять macOS и защитные средства;
- проводить обучение пользователей по распознаванию фишинга, опасных установщиков и социальных трюков.
Вывод
Кампания AMOS Stealer иллюстрирует, как злоумышленники меняют методы атак в ответ на усиление платформенной безопасности. Комбинация социальной инженерии (взломанные приложения, поддельные установщики) и технических приёмов (выполнение скриптов через терминал, сменяющиеся домены) делает угрозу серьёзной и требующей проактивных мер со стороны пользователей и организаций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Atomic macOS Stealer (AMOS): обход Gatekeeper и кража данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.