AMOS Stealer: Утечка данных на macOS через osascript

AMOS Stealer: Утечка данных на macOS через osascript

В последние недели в среде кибербезопасности наблюдается возрастающее внимание к AMOS Stealer — вредоносной программе, специально созданной для операционной системы macOS. Она отличается тем, что использует зашифрованную полезную нагрузку osascript для утечки данных, что позволяет ей избегать обнаружения большинством антивирусных решений.

Методы сокрытия и обходы защиты

Стало известно, что AMOS Stealer был замечен 11 марта 2025 года, когда его не удалось обнаружить с помощью средств защиты от виртуальных машин, таких как QEMU и VMware. Это стало возможным благодаря уникальным механизмам, встроенным в его исполнение.

Для установки вредоносного ПО пользователи загружают файл DMG с именем Installer_v2.7.8.dmg, после чего им предлагается:

  • щелкнуть правой кнопкой мыши;
  • запустить двоичный файл установщика для обхода Gatekeeper — встроенной функции безопасности Apple, направленной на блокировку непроверенных приложений.

Технические детали

Вредоносный двоичный файл представляет собой универсальный двоичный файл Mach-O, совместимый как с архитектурой x86_64 (Intel), так и arm64 (Apple Silicon). Это обеспечивает его работу на широком спектре систем macOS.

Для статического анализа были использованы инструменты, такие как Detect It Easy (DIE) и Binary Ninja. Это позволило исследовать архитектурные детали и ключевые адреса, связанные с его работой. Точка входа вредоносного ПО обозначена как 0x1008722a0, что является критически важным для выполнения его полезной нагрузки.

Механизмы кражи данных

AMOS Stealer использует несколько методов защиты от виртуальных машин. К этим методам относятся запросы системной информации о сигнатурах виртуализации с помощью ptrace, проверки sysctl и потоков для обнаружения отладки. В случае обнаружения виртуальной машины вредоносное ПО завершает свою работу с определенным кодом состояния. Если такое окружение не обнаружено, программа переходит к выполнению своей полезной нагрузки osascript.

Полезная нагрузка инициирует процесс кражи данных, извлекая информацию из различных источников:

  • Браузеры на базе Chromium, включая Google Chrome и Brave, а также Firefox;
  • Файлы cookie и данные для входа в систему;
  • Информация о расширениях, в частности, из плагинов для криптовалютных кошельков;
  • Файлы криптовалютных кошельков на рабочем столе;
  • Данные о сеансах Telegram.

Кража мастер-пароля и отправка данных

AMOS Stealer пытается восстановить мастер-пароль Chrome через запрос, который выглядит как системный, что создает видимость легитимности. Собранные данные сжимаются в ZIP-файл и отправляются на заранее определенный сервер управления с помощью curl POST запроса. Контролируемый адрес C2 представляет собой hxxp://95.164.53.3/contact.

Заключение

Данная вредоносная программа демонстрирует сложность современных угроз в области кибербезопасности, сочетая эксплойты системного уровня с методами обмана пользователей для компрометации систем macOS. Пользователям настоятельно рекомендуется проявлять осторожность при установке новых программ и обращать внимание на предупреждения безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: