AMOS Stealer: Утечка данных на macOS через osascript

В последние недели в среде кибербезопасности наблюдается возрастающее внимание к AMOS Stealer — вредоносной программе, специально созданной для операционной системы macOS. Она отличается тем, что использует зашифрованную полезную нагрузку osascript для утечки данных, что позволяет ей избегать обнаружения большинством антивирусных решений.
Методы сокрытия и обходы защиты
Стало известно, что AMOS Stealer был замечен 11 марта 2025 года, когда его не удалось обнаружить с помощью средств защиты от виртуальных машин, таких как QEMU и VMware. Это стало возможным благодаря уникальным механизмам, встроенным в его исполнение.
Для установки вредоносного ПО пользователи загружают файл DMG с именем Installer_v2.7.8.dmg, после чего им предлагается:
- щелкнуть правой кнопкой мыши;
- запустить двоичный файл установщика для обхода Gatekeeper — встроенной функции безопасности Apple, направленной на блокировку непроверенных приложений.
Технические детали
Вредоносный двоичный файл представляет собой универсальный двоичный файл Mach-O, совместимый как с архитектурой x86_64 (Intel), так и arm64 (Apple Silicon). Это обеспечивает его работу на широком спектре систем macOS.
Для статического анализа были использованы инструменты, такие как Detect It Easy (DIE) и Binary Ninja. Это позволило исследовать архитектурные детали и ключевые адреса, связанные с его работой. Точка входа вредоносного ПО обозначена как 0x1008722a0, что является критически важным для выполнения его полезной нагрузки.
Механизмы кражи данных
AMOS Stealer использует несколько методов защиты от виртуальных машин. К этим методам относятся запросы системной информации о сигнатурах виртуализации с помощью ptrace, проверки sysctl и потоков для обнаружения отладки. В случае обнаружения виртуальной машины вредоносное ПО завершает свою работу с определенным кодом состояния. Если такое окружение не обнаружено, программа переходит к выполнению своей полезной нагрузки osascript.
Полезная нагрузка инициирует процесс кражи данных, извлекая информацию из различных источников:
- Браузеры на базе Chromium, включая Google Chrome и Brave, а также Firefox;
- Файлы cookie и данные для входа в систему;
- Информация о расширениях, в частности, из плагинов для криптовалютных кошельков;
- Файлы криптовалютных кошельков на рабочем столе;
- Данные о сеансах Telegram.
Кража мастер-пароля и отправка данных
AMOS Stealer пытается восстановить мастер-пароль Chrome через запрос, который выглядит как системный, что создает видимость легитимности. Собранные данные сжимаются в ZIP-файл и отправляются на заранее определенный сервер управления с помощью curl POST запроса. Контролируемый адрес C2 представляет собой hxxp://95.164.53.3/contact.
Заключение
Данная вредоносная программа демонстрирует сложность современных угроз в области кибербезопасности, сочетая эксплойты системного уровня с методами обмана пользователей для компрометации систем macOS. Пользователям настоятельно рекомендуется проявлять осторожность при установке новых программ и обращать внимание на предупреждения безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



