СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
11 марта
#ИБ

Malext: Amos Stealer на MacOS обходил Gatekeeper через Google Ads

Недавно исследователи обнаружили масштабную малвертизинговую кампанию, нацеленную на пользователей macOS. Злоумышленники распространяют вредоносное ПО — вариант известного стилера Amos Stealer, получивший обозначение malext. Атака сочетает в себе покупку рекламных объявлений в Google Ads, использование публичных платформ для обмена текстом и социальную инженерию, чтобы побудить жертву выполнить вредоносные команды в терминале.

Суть атаки и вектор распространения

Атака начинается с обманчивых рекламных объявлений, которые предлагают «решения» распространённых проблем macOS. Трафик ведёт на страницы с простыми шаблонами «ловушек», где пользователям предлагается скопировать и вставить команды в Terminal. После выполнения таких команд запускается цепочка запросов с использованием curl, которая загружает бинарные файлы — полезную нагрузку malext.

Один из характерных приёмов — инструкция пользователю «скопируйте и вставьте команду в терминал», после чего запускается последовательность загрузок и установки вредоносного кода.

Техника обхода Gatekeeper и устойчивость

malext применяет ряд приёмов для уклонения от стандартных механизмов защиты macOS:

  • Удаление атрибута карантина у загруженного бинарного файла, что позволяет избежать предупреждений со стороны Gatekeeper и выполнить бинарник без явного согласия пользователя.
  • Проверки окружения: скрипты анализируют конфигурацию системы и аппаратные детали, чтобы определить, выполняется ли код в виртуальной машине или песочнице, и в случае обнаружения — прекратить выполнение вредоносных функций.
  • Создание персистентности через LaunchDaemons, обеспечивающее автозапуск вредоноса при старте системы.

Сбор данных и эксфильтрация

Основная цель malext — кража информации. Малварь собирает конфиденциальные данные из браузеров и приложений, включая пароли и сессионные токены. В частности, под прицелом оказались приложения Telegram и Apple Notes.

Методы получения учётных данных:

  • Использование ранее кэшированных паролей.
  • Социальная инженерия с целью заставить пользователя ввести системный пароль — после этого вредонос сохраняет эти учетные данные для дальнейшего использования.

Собранные данные отправляются на серверы командования и управления (C2), отмеченные доменом malext.com. Для передачи используется curl и архивирование данных в сжатые архивы; малвер стремится повторно подключиться к C2 в случае неудачи, обеспечивая надежную эксфильтрацию.

Целевые приложения: фокус на криптовалютных кошельках

Особенно опасной особенностью варианта является таргетирование криптовалютных клиентов. После получения пароля пользователя злоумышленники пытаются заменить бинарные файлы таких приложений, как Ledger Wallet и Trezor Suite, на вредоносные версии. Это даёт атакующим скрытый доступ к средствам пользователей и повышает риск прямой кражи криптовалют.

Технические индикаторы и поведенческие признаки

  • Использование публичных paste-платформ и поддельных лендингов в рекламных объявлениях.
  • Шаблоны команд, предлагаемые для копирования в Terminal (типичный паттерн: использование curl для загрузки и исполнения).
  • Удаление quarantine-атрибута у бинарников (обход Gatekeeper).
  • Персистенция через LaunchDaemons.
  • Подключения к домену malext.com и попытки отправки архивированных данных на C2.

Рекомендации по защите

Для уменьшения риска заражения и обнаружения malext следует придерживаться следующих практик:

  • Никогда не выполнять команды в Terminal, скопированные с сомнительных сайтов или рекламных объявлений.
  • Проверять источник ПО и загружать приложения только с официальных сайтов или App Store.
  • Контролировать и ограничивать использование прав администратора; не вводить системный пароль по просьбе неизвестных страниц или сценариев.
  • Проверить системные LaunchDaemons на наличие неизвестных записей и удалить подозрительные элементы.
  • Мониторить сетевые подключения на предмет соединений с malext.com и аномальных передач данных.
  • Для организаций: обеспечить защиту рекламных аккаунтов (Google Ads), отслеживать внешние кампании и проводить аудит ссылок, а также внедрять EDR и поведенческий мониторинг на macOS-эндоинтах.
  • Настроить MFA в сервисах и кошельках, где это возможно; при подозрении на компрометацию — переустановить ключевые приложения из официальных источников и сменить пароли.

Вывод

Кампания с использованием варианта Amos Stealer (malext) демонстрирует высокий уровень планирования: сочетание malvertising, публичных paste-сервисов, обхода Gatekeeper и таргетинга криптовалютных клиентов делает её серьёзной угрозой для пользователей macOS. Основной посыл прост: не доверяйте командам из сомнительных объявлений и страниц и следуйте базовым практикам цифровой гигиены — это снижает вероятность успешной компрометации и потери данных или средств.

Индикатор компрометации: домен malext.com.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: