СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11.12.2025
#ИБ#ИИ

AMOS Stealer: AI‑поддерживаемые ClickFix-атаки на macOS и кража данных

Коротко: Вредоносное ПО AMOS Stealer стало серьёзной угрозой для пользователей macOS — не столько из‑за нового кода, сколько из‑за инновационной схемы доставки, которая эксплуатирует доверие людей к платформам искусственного интеллекта, таким как ChatGPT и Grok. Исследование команды Huntress демонстрирует, как атаки «ClickFix» превращают простые поисковые запросы и диалоги в цепочку команд, ведущих к кражe учётных данных и скрытому установлению вредоносной нагрузки.

Как все начинается: невинный поиск и «человеческое» общение

По данным Huntress, кампания стартует с обычных поисковых запросов по управлению дисковым пространством на macOS. Пользователь вступает в диалог, который выглядит как типичное взаимодействие с сервисом или ботом: ответы стилизованы под формат, к которому привыкли пользователи AI‑платформ. Такая подача увеличивает доверие и повышает вероятность того, что человек выполнит предложенную команду.

Злоумышленники используют стратегию социальной инженерии, известную как атаки «ClickFix», — когда вредоносная команда маскируется под «решение» распространённой проблемы (например, очистка диска). Пользователь копирует и вставляет команду из «надежного» источника, не подозревая подвоха.

Техническая схема заражения

  • Встраивание команды: вредоносная команда содержит строку в кодировке base64, которая при выполнении расшифровывает подключение к URL с вредоносным bash-скриптом.
  • Многоступенчатая загрузка: расшифрованная команда загружает полезную нагрузку по внешнему URL, с которого скачивается загрузчик.
  • Сбор учётных данных и повышение привилегий: начальный этап фокусируется на краже учетных записей пользователя и молчаливом повышении привилегий для дальнейших действий злоумышленника.
  • Установка основной полезной нагрузки: после получения учётных данных запускается загрузчик на AppleScript, который скачивает и устанавливает основной исполняемый файл формата Mach-O в скрытый каталог в домашней директории.
  • Эксфильтрация данных: исполняемый файл запрограммирован на сбор и вывод ценных данных с устройства — классическая цель stealer‑семейства.
  • Закрепление в системе: для устойчивого присутствия злоумышленник создаёт задачу через LaunchDaemon, чтобы запускать вредоносный bash-скрипт при каждой перезагрузке.

Инфраструктура и возможности обхода защиты

Кампания опирается на собственную инфраструктуру с конкретными URL и IP‑адресами C2 (command and control). Особенность AMOS Stealer — это не только технические механизмы, но и умелое использование человеческого фактора: привычка копировать команды из доверенных источников и формат ответов, знакомый по взаимодействию с AI‑платформами, позволяют обходить традиционные меры безопасности.

Почему это опасно

  • Эксплуатация доверия к AI‑платформам (ChatGPT, Grok) делает атаку масштабируемой и труднo детектируемой для конечного пользователя.
  • Многоступенчатая цепочка и наличие постоянного механизма запуска через LaunchDaemon обеспечивают стойкое присутствие на устройстве.
  • Сбор учётных данных и скрытая эксфильтрация данных указывают на целенаправленную деятельность по краже информации, а не на простое вандализм.

Выводы и практические рекомендации

Эволюция AMOS Stealer отражает сдвиг в тактике злоумышленников: от попыток технического обхода безопасности — к прямому использованию человеческого доверия к привычным платформам и результатам поиска. Это подчеркивает, что защита должна включать не только технические средства, но и повышение бдительности пользователей.

Рекомендации пользователям и администраторам:

  • Не копируйте и не выполняйте команды, полученные из непроверенных источников, даже если они выглядят как «решение» распространённой проблемы.
  • Проверяйте URL и происхождение советов — отдавайте предпочтение официальной документации и проверенным ресурсам.
  • Ограничьте привилегии выполнения команд у пользователей и используйте принцип минимальных прав.
  • Разверните средства обнаружения и реагирования (EDR) для macOS и мониторьте подозрительную активность, связанную с загрузками по внешним URL и созданием LaunchDaemon.
  • Регулярно обновляйте ОС и приложения, чтобы закрывать известные уязвимости и риски эксплойтов.

По данным команды Huntress, важность бдительности в отношении социально спроектированных атак возрастает: злоумышленники теперь целенаправленно эксплуатируют доверие к AI‑платформам.

AMOS Stealer — напоминание о том, что в современной кибербезопасности «человеческое звено» остаётся самым уязвимым. Технические контрмеры эффективны только в сочетании с осознанной осторожностью пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: