Новая кампания AMOS: кража паролей macOS через поддельный Spectrum
Источник: www.cloudsek.com
Исследователи CloudSEK выявили масштабную киберкампанию, нацеленную на пользователей macOS, с использованием доменов с опечатками, которые имитируют бренд американского телекоммуникационного провайдера Spectrum. Цель атаки — распространение нового варианта вредоносного ПО Atomic macOS Stealer (AMOS), позволяющего похищать системные пароли и обходить механизмы защиты.
Особенности распространения и технология Clickfix
В рамках кампании злоумышленники применяют технологию Clickfix, обеспечивающую индивидуальную загрузку вредоноса с учётом операционной системы жертвы. Среди пользователей macOS распространяется специализированный вредоносный shell-скрипт, который:
- Похищает системные пароли пользователя;
- Использует собственные команды macOS для перехвата учетных данных;
- Обходит стандартные средства безопасности;
- Запускает вредоносные двоичные файлы.
Типичная последовательность действий жертвы включает нажатие кнопки «Альтернативная проверка», после чего команда копируется в буфер обмена и появляется запрос на немедленное выполнение скрипта через Bash. Скрипт запускает цикл, который постоянно запрашивает «Системный пароль», пока не будет введён корректный пароль. Проверка производится через службы каталогов macOS, а все введённые пароли сохраняются во временном файле /tmp/.pass.
Русскоязычные следы и сомнительные методы доставки
В исходном коде вредоносного ПО обнаружены русскоязычные комментарии, которые указывают на возможное участие киберпреступников, владеющих русским языком. Это подтверждает целенаправленный характер разработки инфраструктуры и указывает на региональную «прописку» авторов кампании.
Кроме того, механизмы доставки вредоноса демонстрируют слабую логику и содержат неточности в инструкциях:
— команды для пользователей Linux и Windows включают неоднозначные PowerShell-команды, которые не всегда применимы;
— инструкции типа «Нажмите и удерживайте клавишу Windows + R» вводят в заблуждение и пользователей Windows, и пользователей Mac.
Последствия и потенциальные угрозы для корпоративных систем
Сбор мак-паролей влечёт серьёзные риски компрометации корпоративных учётных данных. Получив доступ, злоумышленники могут:
- Взламывать внутренние корпоративные системы и VPN;
- Свободно перемещаться по инфраструктуре организации;
- Использовать легальные утилиты macOS (
dscl,sudo,xattr) для обхода Endpoint Detection and Response (EDR) и антивирусных решений; - Продавать доступ хакерским брокерам;
- Запускать последующие атаки, включая внедрение программ-вымогателей и утечку данных.
«Пользование встроенными средствами операционной системы для обхода защиты снижает эффективность традиционных механизмов безопасности и требует пересмотра подходов к защите корпоративных систем», — отмечают эксперты CloudSEK.
Заключение: вызовы многоплатформенных угроз
Данная кампания ясно демонстрирует растущую тенденцию к многоплатформенным атакам с применением социальной инженерии. Такие угрозы выходят за рамки индивидуальных пользователей и становятся серьёзной проблемой для корпоративных структур в целом.
Организациям настоятельно рекомендуется повысить уровень бдительности, усилить мониторинг событий безопасности и вооружиться новыми технологиями защиты для своевременного обнаружения и нейтрализации подобных угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
