Amos Stealer атакует macOS: кража учетных данных и данных браузера

Amos Stealer — это вредоносное программное обеспечение, ориентированное на пользователей macOS и предназначенное для извлечения конфиденциальной информации. По данным отчета, вредонос распространяется через обманные загрузки программного обеспечения, вредоносные веб-сайты и приемы социальной инженерии.

Ключевая задача стиллера — сбор учетных данных, данных браузера, конфигураций криптовалютных кошельков и различных proprietary files. При этом кампания отражает заметный сдвиг в сторону атак на macOS, что указывает на растущий интерес злоумышленников к операциям, мотивированным финансовой выгодой.

Первоначальный доступ через curl и AppleScript

Согласно отчету, первоначальный доступ к системам часто обеспечивается с помощью команды curl, которая позволяет скрытно загружать удаленные полезные нагрузки с серверов, контролируемых злоумышленниками. Такой подход дает возможность выполнять shell scripts или AppleScripts с минимальной заметностью.

В ходе недавних расследований аномальные выполнения curl помогли выявить активные заражения Amos Stealer. Злоумышленники, как отмечается в документе, специально использовали флаги -fsSL для оптимальной доставки и выполнения payload.

После загрузки payload script инициализируется с использованием hardcoded variables, включая домен, API key и authentication token. Криминалистический анализ показал, что после выполнения AppleScript через shell zsh вредоносное ПО проводит автоматические проверки, чтобы убедиться в успешном выполнении script.

Как проходит кража данных

Если script работает корректно и находит целевые файлы, Amos Stealer переходит к подготовке эксфильтрации данных. Для этого он использует несколько механизмов, позволяющих повысить надежность передачи и снизить вероятность обнаружения.

• разделение данных на сегменты по 10 MB для обхода потенциальных сетевых аномалий;
• генерация уникальных session IDs для загрузки;
• возможность повторных попыток при сбое передачи.

Вредонос агрессивно нацелен на высокоценные директории с конфиденциальной информацией. В частности, он извлекает browser artifacts из Google Chrome и Microsoft Edge, а также компрометирует macOS Keychain, предоставляя доступ к корпоративным учетным данным.

Кроме того, Amos Stealer собирает sensitive files из домашней директории пользователя, включая директории .kube, .ssh, .zshrc и .gitconfig.

Подготовка архива и эксфильтрация

Собранная информация консолидируется в архив osalogging.zip в директории /tmp, после чего передается наружу через HTTP PUT-request на command-and-control domain злоумышленника.

Процесс эксфильтрации включает:

• флаг -k для обхода TLS verification;
• замаскированную строку User-Agent, имитирующую браузер;
• механизмы скрытия активности в сетевом трафике.

После успешной отправки данных Amos Stealer пытается стереть следы своей активности, выполняя команды очистки на скомпрометированной системе.

Что это значит для macOS

Этот malware показывает, что macOS не является исключением из современной экосистемы киберугроз. Напротив, платформа все чаще оказывается в зоне интереса операторов, ориентированных на кражу информации и монетизацию доступа.

Как отмечается в отчете, для снижения рисков командам безопасности следует внедрять:

• advanced threat hunting на основе поведения;
• строгие практики endpoint hardening;
• контроль аномальных запусков curl и shell scripts;
• мониторинг обращения к чувствительным директориям и Keychain;
• проверку подозрительных сетевых запросов и архивирования данных в /tmp.

Amos Stealer — наглядный пример того, как киберпреступники адаптируют инструменты под новые среды и продолжают развивать техники скрытного сбора и вывода данных. Для организаций это означает необходимость не только реагировать на инциденты, но и заранее выстраивать поведенческую аналитику и защиту конечных точек.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.