Коротко: Вредоносное ПО AMOS Stealer стало серьёзной угрозой для пользователей macOS — не столько из‑за нового кода, сколько из‑за инновационной схемы доставки, которая эксплуатирует доверие людей к платформам искусственного интеллекта, таким как ChatGPT и Grok. Исследование команды Huntress демонстрирует, как атаки «ClickFix» превращают простые поисковые запросы и диалоги в цепочку команд, ведущих к кражe учётных данных и скрытому установлению вредоносной нагрузки.
Как все начинается: невинный поиск и «человеческое» общение
По данным Huntress, кампания стартует с обычных поисковых запросов по управлению дисковым пространством на macOS. Пользователь вступает в диалог, который выглядит как типичное взаимодействие с сервисом или ботом: ответы стилизованы под формат, к которому привыкли пользователи AI‑платформ. Такая подача увеличивает доверие и повышает вероятность того, что человек выполнит предложенную команду.
Злоумышленники используют стратегию социальной инженерии, известную как атаки «ClickFix», — когда вредоносная команда маскируется под «решение» распространённой проблемы (например, очистка диска). Пользователь копирует и вставляет команду из «надежного» источника, не подозревая подвоха.
Техническая схема заражения
- Встраивание команды: вредоносная команда содержит строку в кодировке base64, которая при выполнении расшифровывает подключение к URL с вредоносным bash-скриптом.
- Многоступенчатая загрузка: расшифрованная команда загружает полезную нагрузку по внешнему URL, с которого скачивается загрузчик.
- Сбор учётных данных и повышение привилегий: начальный этап фокусируется на краже учетных записей пользователя и молчаливом повышении привилегий для дальнейших действий злоумышленника.
- Установка основной полезной нагрузки: после получения учётных данных запускается загрузчик на AppleScript, который скачивает и устанавливает основной исполняемый файл формата Mach-O в скрытый каталог в домашней директории.
- Эксфильтрация данных: исполняемый файл запрограммирован на сбор и вывод ценных данных с устройства — классическая цель stealer‑семейства.
- Закрепление в системе: для устойчивого присутствия злоумышленник создаёт задачу через LaunchDaemon, чтобы запускать вредоносный bash-скрипт при каждой перезагрузке.
Инфраструктура и возможности обхода защиты
Кампания опирается на собственную инфраструктуру с конкретными URL и IP‑адресами C2 (command and control). Особенность AMOS Stealer — это не только технические механизмы, но и умелое использование человеческого фактора: привычка копировать команды из доверенных источников и формат ответов, знакомый по взаимодействию с AI‑платформами, позволяют обходить традиционные меры безопасности.
Почему это опасно
- Эксплуатация доверия к AI‑платформам (ChatGPT, Grok) делает атаку масштабируемой и труднo детектируемой для конечного пользователя.
- Многоступенчатая цепочка и наличие постоянного механизма запуска через LaunchDaemon обеспечивают стойкое присутствие на устройстве.
- Сбор учётных данных и скрытая эксфильтрация данных указывают на целенаправленную деятельность по краже информации, а не на простое вандализм.
Выводы и практические рекомендации
Эволюция AMOS Stealer отражает сдвиг в тактике злоумышленников: от попыток технического обхода безопасности — к прямому использованию человеческого доверия к привычным платформам и результатам поиска. Это подчеркивает, что защита должна включать не только технические средства, но и повышение бдительности пользователей.
Рекомендации пользователям и администраторам:
- Не копируйте и не выполняйте команды, полученные из непроверенных источников, даже если они выглядят как «решение» распространённой проблемы.
- Проверяйте URL и происхождение советов — отдавайте предпочтение официальной документации и проверенным ресурсам.
- Ограничьте привилегии выполнения команд у пользователей и используйте принцип минимальных прав.
- Разверните средства обнаружения и реагирования (EDR) для macOS и мониторьте подозрительную активность, связанную с загрузками по внешним URL и созданием LaunchDaemon.
- Регулярно обновляйте ОС и приложения, чтобы закрывать известные уязвимости и риски эксплойтов.
По данным команды Huntress, важность бдительности в отношении социально спроектированных атак возрастает: злоумышленники теперь целенаправленно эксплуатируют доверие к AI‑платформам.
AMOS Stealer — напоминание о том, что в современной кибербезопасности «человеческое звено» остаётся самым уязвимым. Технические контрмеры эффективны только в сочетании с осознанной осторожностью пользователей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "AMOS Stealer: AI‑поддерживаемые ClickFix-атаки на macOS и кража данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.