Atomic macOS Stealer (AMOS): обход Gatekeeper и кража данных

Кампания AMOS Stealer представляет собой серьёзную и адаптивную киберугрозу, нацеленную на пользователей macOS. Злоумышленники распространяют вредоносное ПО Atomic macOS Stealer (AMOS) через «взломанные» версии легальных приложений и с помощью скриптов, исполняемых в терминале, что позволяет обходить встроенные механизмы защиты Apple, включая Gatekeeper.

Как происходит заражение

Исследователи выявили два основных пути доставки AMOS:

• Загрузка скомпрометированного ПО с сайтов, распространяющих взломанные приложения (например, посещения сайтов вроде haxmac.cc), которые перенаправляют пользователей на страницы с установщиками AMOS.
• Прямая работа через терминал macOS: пользователям предлагается скопировать и вставить команды, загружающие и выполняющие скрипты установки из внешних доменов (например, letrucvert.com или goatramz.com), что эффективно обходит Gatekeeper.

Что умеет AMOS

Функциональность вредоносного ПО обширна — AMOS нацелен на сбор конфиденциальных данных и может:

• извлекать учётные данные и данные браузера;
• получать доступ к информации о криптовалютных кошельках;
• копировать чаты Telegram и профили VPN;
• чтение заметок Apple и файлов из общих папок.

Особенности тактики злоумышленников

Кампания демонстрирует высокую тактическую адаптивность. Злоумышленники используют сменяющиеся домены и вариативные скрипты, чтобы затруднить обнаружение и удаление вредоносного ПО. По мере того как Apple усиливает защиту (включая усовершенствованные протоколы в macOS Sequoia), атакующая сторона быстро адаптирует свои методы, делая упор на установки через терминал и социальную инженерию.

«Тактическая адаптивность кампании AMOS примечательна, особенно в свете продолжающихся улучшений безопасности Apple.»

Кому угрожает и почему это важно

Риски распространяются как на частных пользователей, так и на корпоративные сети. Поскольку macOS всё чаще используется в профессиональной среде, успешные атаки на такие устройства способны привести к утечке учётных данных сотрудников, доступов к корпоративным ресурсам и финансовым потерям.

Рекомендации по защите

Противодействие кампании AMOS требует многоуровневого подхода:

• не устанавливать «взломанное» или подозрительное ПО и проверять подлинность источников загрузки;
• не копировать и не выполнять команды из непроверенных источников в терминале;
• использовать средства Endpoint Visibility и сетевой мониторинг для обнаружения атипичного поведения и исходящих соединений на сменяющиеся домены;
• внедрять политики контроля приложений и регулярно обновлять macOS и защитные средства;
• проводить обучение пользователей по распознаванию фишинга, опасных установщиков и социальных трюков.

Вывод

Кампания AMOS Stealer иллюстрирует, как злоумышленники меняют методы атак в ответ на усиление платформенной безопасности. Комбинация социальной инженерии (взломанные приложения, поддельные установщики) и технических приёмов (выполнение скриптов через терминал, сменяющиеся домены) делает угрозу серьёзной и требующей проактивных мер со стороны пользователей и организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.