AMOS для macOS: стиллер с приемами социальной инженерии
Atomic macOS Stealer (AMOS) остается одной из наиболее опасных угроз для пользователей macOS. Этот stealer активно использует социальную инженерию на этапе первоначальной компрометации, а недавний инцидент показал: злоумышленники начали применять вариант атаки в стиле ClickFix, заставляя пользователей самостоятельно запускать вредоносную команду в Terminal.
По данным отчета, AMOS не только сохраняет высокую активность, но и демонстрирует устойчивую эффективность. За короткий период этот malware обеспечил около 40% обновлений защиты для macOS и почти половину всех клиентских отчетов, связанных с macOS-stealer-ами. Эксперты связывают AMOS с моделью Malware as a Service (MaaS), что делает его доступным широкому кругу злоумышленников.
Как работает схема заражения
Цепочка заражения начинается с того, что пользователь выполняет вредоносную команду в Terminal. После этого загружается и запускается начальный script, который подготавливает систему к дальнейшим действиям вредоносного ПО.
Далее AMOS переходит к следующему этапу:
- проверяет пароль пользователя macOS;
- запускает secondary payload для повышения привилегий;
- собирает данные из системных профилей;
- пытается обойти анализ с помощью анти-аналитических техник;
- обращается к C2 infrastructure для получения дополнительных инструкций.
Какие данные интересуют злоумышленников
AMOS создан прежде всего для извлечения конфиденциальной информации. В перечень целей входят:
- данные Keychain;
- browser credentials;
- autofill information;
- crypto wallets;
- любая информация, которая может быть использована для последующего account takeover.
Полученные данные собираются, сжимаются и отправляются на инфраструктуру, контролируемую злоумышленниками. Наличие различных конфигураций показывает, что AMOS способен адаптироваться под конкретные цели, включая отдельные модули для кражи данных из crypto wallets.
Признаки активности AMOS
Специалисты по кибербезопасности должны учитывать характерные индикаторы, которые могут указывать на заражение AMOS. Среди них:
- необычные попытки аутентификации;
- создание временных каталогов;
- неожиданные исходящие network requests;
- повторяющиеся запросы учетных данных;
- изменения в LaunchDaemons, не санкционированные администраторами.
Отдельного внимания заслуживает поведение, при котором вредоносное ПО систематически запрашивает credentials, фактически вынуждая жертву раскрыть пароль.
Как снизить риски
Отчет подчеркивает, что защита от AMOS требует сочетания технических мер и контроля пользовательского поведения. Важнейшими шагами считаются:
- блокировка выполнения команд в Terminal, инициируемых пользователями;
- принудительное использование Gatekeeper;
- мониторинг несанкционированных изменений в LaunchDaemons;
- контроль исходящего сетевого трафика;
- оперативное выявление попыток повышения привилегий.
Как отмечается в отчете, именно сочетание социальной инженерии, скрытности и адаптивных конфигураций делает AMOS особенно опасным для экосистемы macOS. Для команд безопасности это означает необходимость постоянного мониторинга, а для пользователей — повышенной осторожности при любых просьбах выполнить команды в Terminal.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
