СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
05.07.2025
#Dev#ИБ#Инфра

Глубокий анализ вредоносной программы AMOS: методы и механизмы скрытности

Глубокий анализ вредоносной программы AMOS: методы и механизмы скрытности

Эксперты раскрывают сложную архитектуру вредоносной программы AMOS

Недавний анализ вредоносных кампаний, связанных с программой AMOS, выявил её высокоадаптивную и многоуровневую структуру. Это вредоносное ПО демонстрирует продвинутые методы кодирования и проверки среды выполнения, затрудняя процесс обнаружения и борьбы с ним.

Основной механизм работы AMOS

На начальном этапе вредоносная программа перемещает встроенный файл .touchblock во временную папку, где он запускается. Этот файл содержит версии AMOS как для архитектур x64, так и для ARM64.

Декодирование данных программы реализовано следующим образом:

  • данные делятся на три блока одинакового размера;
  • каждый блок декодируется в base64 с использованием специализированного пользовательского алфавита;
  • это нестандартное кодирование затрудняет обнаружение вредоносного кода традиционными средствами.

Проверка среды выполнения и антивиртуализация

AMOS использует скрипт с вызовом osascript, который взаимодействует с функциями профилирования системы macOS. Механизм позволяет определить тип среды — физическая машина или виртуальная среда.

В случае обнаружения признаков виртуализации (QEMU, VMware) или специфических аппаратных идентификаторов, выполнение вредоносного кода прерывается с кодом возврата 100. Если такие признаки отсутствуют, код продолжает работу (код возврата 0), что повышает шансы успешного заражения на реальном устройстве.

Методики обнаружения и правила YARA

Для обнаружения AMOS была разработана специализированная YARA-правила под названием amos, которая включает уникальные байтовые шаблоны для идентификации вредоносного ПО в необработанных данных.

  • Функция yara_scan проверяет соответствие сигнатурам;
  • обнаруженные образцы подвергаются расшифровке методом исключения;
  • это облегчает анализ и блокировку вредоносного кода на ранних стадиях.

Распространение и управление

Серверы управления AMOS (C2) активно используются для доставки поддельного приложения Ledger Live, упакованного в архив app.zip. Данный архив содержит установщик версии AMOS, что демонстрирует мультимодальный подход к инфицированию.

Подобная тактика подчеркивает необходимость постоянного мониторинга специфических индикаторов компрометации (IoC) для своевременного выявления угроз AMOS.

Выводы

AMOS представляет собой сложную, высокоадаптивную вредоносную программу, применяющую:

  • нетрадиционные методы кодирования с пользовательским базовым алфавитом;
  • антивиртуализационные проверки среды исполнения;
  • многоуровневую схему распространения через поддельные дистрибутивы.

Комплексный и целенаправленный подход AMOS увеличивает вероятность успешного обхода защитных механизмов и скрытого проникновения в целевые системы. Это подчеркивает критическую важность использования продвинутых инструментов кибербезопасности и постоянного анализа актуальных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: