Мошеннические объявления в Google маскируются под советы от ChatGPT и Grok и заражают macOS вирусом-шпионом AMOS
Изображение: Wesson Wang (unsplash)
Исследователи выявили новую атаку на владельцев устройств под управлением macOS, где злоумышленники используют платные объявления в Google для распространения вредоносной программы AMOS. Целью кампании становится сбор конфиденциальной информации через поддельные чаты с якобы полезными советами по ChatGPT и Grok.
По данным Kaspersky, первая волна таких атак была зафиксирована накануне. Позже платформа Huntress, занимающаяся управляемой киберзащитой, опубликовала разбор схемы с техническими деталями.
Специалисты Kaspersky установили, что при запросах пользователей о работе с macOS, в том числе о браузере Atlas на базе ИИ, реклама в поиске ведёт на сфальсифицированные диалоги.
Как поясняется в отчёте Huntress, вредоносные чаты размещаются на легитимных ресурсах и внешне выглядят как стандартные рекомендации. Они содержат инструкции, которые при выполнении в терминале запускают установку AMOS. Проверка показала, что искажённые результаты поиска появляются по множеству запросов (например, «как очистить системные данные на iMac»), что свидетельствует о масштабности атаки.
После перехода по ссылке пользователю предлагается выполнить терминальные команды, одна из которых расшифровывает base64-ссылку. Далее происходит загрузка поддельного окна с запросом пароля. Как поясняют в Huntress, после ввода пароля вредоносный скрипт получает возможность выполнять команды от имени администратора, в том числе устанавливать шпионскую программу AMOS.
Эта вредоносная утилита впервые была зафиксирована весной 2023 года. Она распространяется по модели MaaS (вредоносное ПО по подписке), предоставляя злоумышленникам инструменты слежки за $1000 в месяц. Уточняется, что программа адаптирована исключительно под macOS.
Позднее AMOS получил дополнительные функции. В частности, в него встроен бэкдор, который позволяет удалённо управлять заражённым устройством, считывать нажатия клавиш и загружать новые вредоносные модули.
По данным Huntress, вирус сохраняется в скрытом файле .helper в пользовательском каталоге. При запуске он проверяет наличие программ Ledger Wallet и Trezor Suite. Если они обнаружены, утилита заменяет их модифицированными копиями, в которых отображается поддельный запрос сид-фразы.
