СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
25 мая
#ИБ

Инфостилер AMOS сделал владельцев Mac любимой добычей хакеров

Инфостилер AMOS сделал владельцев Mac любимой добычей хакеров

изображение: recraft

Вредоносная программа Atomic macOS Stealer, известная как AMOS, стала одной из главных угроз для пользователей macOS в 2026 году. По данным Sophos MDR, инфостилер уже регулярно встречается в атаках на устройства Apple и почти не использует сложные уязвимости, делая ставку на социальную инженерию и невнимательность жертвы. Почти половина всех сообщений о кражах данных на Mac за последние три месяца оказалась связана именно с AMOS или его вариантами.

Последний расследованный Sophos MDR инцидент показал классическую схему ClickFix. Жертву обманом заставили вручную вставить вредоносную команду в приложение «Терминал», после чего система фактически сама открыла двери инфостилеру. Технического взлома не требуется вовсе, достаточно психологической манипуляции и одного неосторожного действия пользователя.

Масштаб угрозы в цифрах выглядит так:

  • в течение 2025 года AMOS отвечал почти за 40% всех развёртываний защитных механизмов macOS внутри систем компании;
  • это более чем в два раза превышает показатели любого другого семейства вредоносного ПО для Mac за тот же период;
  • операцию по распространению AMOS в формате malware-as-a-service отслеживают как минимум с апреля 2023 года;
  • одной из самых известных модификаций стал вариант SHAMOS, о котором CrowdStrike рассказывала в августе 2025 года.

Любопытно, что за пару лет AMOS прошёл путь от нишевого инструмента до полноценного теневого сервиса для кражи данных, доступного по подписке практически любому желающему.

В декабре 2025 года Huntress зафиксировала распространение заражений через отравленные результаты поиска, связанные с ChatGPT и Grok. Пользователь искал нейросеть, утилиту или сервис, попадал на поддельный сайт и запускал вредоносный код собственными руками. Эта схема сейчас активно работает против владельцев Mac, и её эффективность держится на доверии людей к привычным поисковым выдачам.

После выполнения команды в «Терминале» AMOS сразу требует пароль от macOS. Вредоносный код локально проверяет учётные данные через системную службу каталогов и сохраняет пароль в скрытом файле .pass внутри домашнего каталога пользователя. Затем инфостилер загружает дополнительный пакет, который удаляет расширенные атрибуты безопасности и пытается обходить защитные предупреждения системы.

Перед основной работой вредонос проверяет окружение. Он анализирует данные system_profiler и ищет признаки виртуальной машины или песочницы:

  • следы VMware;
  • следы QEMU;
  • следы KVM.

Если запуск происходит в реальной системе, начинается основная стадия кражи. AMOS собирает огромный объём чувствительной информации:

  • база Keychain macOS;
  • данные браузеров Firefox и Chrome;
  • локальные cookie;
  • файлы расширений и токены сессий.

Отдельный интерес злоумышленников вызывают криптовалютные пользователи. Некоторые варианты AMOS используют поддельные приложения Ledger Wallet и Trezor Suite, через которые похищаются сид-фразы и данные криптокошельков. Для владельцев цифровых активов это прямой риск полной потери средств без шанса на возврат.

Финальная стадия атаки устроена без лишних ухищрений:

  • собранные данные архивируются через встроенную утилиту ditto;
  • архив отправляется на серверы злоумышленников POST-запросами curl;
  • для закрепления в системе устанавливается LaunchDaemon;
  • этот компонент обеспечивает автозапуск вредоноса после каждой перезагрузки.

Стоит обратить внимание, что AMOS почти не использует ничего экзотического. Штатные системные утилиты Apple вроде ditto и curl сами становятся частью схемы кражи, и отличить их работу от легитимной активности заметно сложнее.

При всей опасности AMOS часть специалистов считает, что вокруг угрозы иногда возникает лишний драматизм. Инфостилеры десятилетиями терроризируют пользователей Windows, и для этого мира подобные методы давно стали привычной реальностью. В случае с macOS многое всё ещё зависит от согласия самой жертвы, ведь пользователь должен вручную вставить и выполнить подозрительную команду в «Терминале». Для технически грамотного человека это уже серьёзный сигнал опасности.

Apple постепенно усиливает встроенную защиту macOS. Gatekeeper, XProtect и система нотариального заверения приложений усложняют жизнь авторам вредоносного ПО, поэтому часть текущих техник AMOS может потерять эффективность после очередных обновлений системы. Но главный вывод выглядит неприятно. Даже закрытая и защищённая платформа перестаёт спасать, если пользователь сам игнорирует базовые предупреждения безопасности.

Ранее сообщалось, что северокорейские хакеры применяют новые вредоносные программы для macOS и Windows в криптовалютных атаках. Исследование Google Mandiant показало, что злоумышленники комбинируют социальную инженерию, ИИ-видео и технику ClickFix для доставки вредоносных нагрузок. Специалисты выявили сразу семь различных семейств вредоносного ПО для macOS и связали активность с кластером UNC1069, который отслеживается с 2018 года.

Эксперты редакции CISOCLUB уверены, что будущее атак на macOS будет строиться не на технических прорывах, а на манипуляции вниманием пользователя, и противостоять этому способна только цифровая грамотность и привычка перепроверять каждую команду перед запуском.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: