AMOS Stealer: Новая угроза в кибербезопасности 2025 года

AMOS Stealer: Новая угроза в кибербезопасности 2025 года

Источник: www.esentire.com

В феврале 2025 года кибербезопасность вновь испытала удар с появлением вредоносной программы AMOS Stealer. Этот мощный инструмент для кражи данных использует osascript для выполнения AppleScript и демонстрирует, как меняется ландшафт киберугроз с ростом моделей «Вредоносное ПО как услуга».

Спецификации и возможности AMOS Stealer

AMOS Stealer, стоимостью 3000 долларов в месяц, тесно связан с хакером, известным как «ping3r», и имеет много общего с Poseidon Stealer, который был создан человеком, назвавшимся «Rodrigo4». Этот тип вредоносного ПО нацелен на сбор конфиденциальной информации из популярных браузеров, таких как Chromium и Firefox, включая:

  • данные кредитных карт;
  • пароли;
  • закладки;
  • данные автозаполнения;
  • учетные данные криптовалютных кошельков.

Методы скрытности и распространения

AMOS Stealer активно собирает системную информацию и данные о сеансах Telegram, извлекая файлы из трех основных каталогов: «Рабочий стол«, «Загрузки» и «Документы«, уделяя особое внимание конкретным расширениям файлов. Чтобы повысить свою скрытность, программа использует:

  • Методы защиты от отладки;
  • Системный вызов ptrace() для обнаружения отладчиков.

Первоначальный способ доступа к AMOS Stealer зачастую связан с вредоносной рекламой, которая перенаправляет пользователей на поддельный сайт DeepSeek. Этот мошеннический ресурс предлагает загрузить замаскированный сценарий оболочки, встроенный в DMG-файл. После загрузки скрипт выполняет команды, которые:

  • изменяют атрибуты файла для сокрытия вредоносного ПО;
  • помечают двоичный файл как исполняемый.

Безопасность упрощает работу с данными

AMOS Stealer активно управляет своим присутствием, прекращая сеансы терминала для скрытия своей активности во время сбора данных. Фильтрация данных осуществляется путем:

  • архивирования собранной информации;
  • передачи данных на сервер управления (C2) с помощью POST-запросов.

К типам украденных данных относятся:

  • файлы cookie браузера;
  • учетные данные для входа;
  • содержимое связки ключей;
  • файлы с различными указанными расширениями.

Корректировка классификации

Согласно последним обновлениям, была уточнена классификация данного вредоносного ПО. Первоначально оно было ошибочно отнесено к Poseidon Stealer, но в настоящее время подтверждено как AMOS Stealer. Это изменение подчеркивает важность точной информации об угрозах и необходимость коллективного понимания киберугроз.

Заключение

Различные домены, связанные с AMOS Stealer, включая поддельные веб-сайты DeepSeek, играют ключевую роль в его распространении и реализации. Это подчеркивает оперативную тактику хакеров и современные тенденции киберпреступности, вызывая необходимость усиления мер по защите информации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: