В конце апреля 2026 года специалисты по кибербезопасности зафиксировали необычный инцидент, который может изменить представление о том, как злоумышленники используют искусственный интеллект для атак. Сотрудники компании Field Effect MDR обнаружили, что на компьютер под управлением macOS была загружена и запущена вредоносная полезная нагрузка AMOS Stealer, причём все действия выполнил AI-агент Cursor, работающий через инструмент Claude Code. Самое тревожное в этой истории - то, что разработчик сам, не подозревая об этом, дал агенту команду выполнить опасный сценарий.
Описание
Как выяснили эксперты, злоумышленники использовали метод социальной инженерии, адаптированный под взаимодействие человека с AI-помощником по программированию. Агента заставили загрузить и запустить скрипты-загрузчики через обычную команду пользователя. При этом все последующие вредоносные манипуляции выполнялись напрямую агентом Cursor, что делает их практически неотличимыми от обычной работы с кодом. Скачивание файлов, быстрый доступ к папкам и выполнение скриптов - всё это типично для сессии любого AI-агента по разработке.
Начало атаки выглядело безобидно. Агент Cursor выполнил несколько команд, которые показались бы привычными любому разработчику. Сначала система загрузила файлы с внешнего ресурса arkypc[.]com, причём один из них маскировался под обновление популярного инструмента n8n. После этого файл "helper" был сделан исполняемым и запущен агентом. Как объясняется в техническом отчёте, этот метод делает обнаружение особенно сложным, потому что использование команд curl и chmod для загрузки и установки библиотек - обычная практика в работе AI-агентов.
Сразу после запуска на устройстве начали работать два зашифрованных AppleScript. Первый выполнял разведку: он проверял, не запущена ли система в виртуальной среде. Скрипт сравнивал данные об оборудовании и памяти со списком известных гипервизоров - QEMU, VMware, KVM, а также проверял, не является ли машина виртуальным Mac. Если атакуемый компьютер оказывался виртуальным, исполнение прекращалось, что свидетельствует о попытке обойти системы анализа. Только после этой проверки запускался второй скрипт - непосредственно опасный.
Второй скрипт, AMOS Stealer, начал настоящую "охоту за данными". Он скопировал огромное количество конфиденциальной информации: пароли из браузеров, SSH-ключи, файлы конфигураций AWS, настройки Docker, данные из FileZilla, историю работы в терминале, конфиденциальные файлы мессенджеров и, что особенно опасно, информацию о криптовалютных кошельках. Скрипт целенаправленно искал расширения для криптокошельков в браузерах на движке Chromium, перебирая большой список идентификаторов.
Чтобы обойти защиту, скрипт применил хитрую уловку. Он вывел пользователю диалоговое окно с просьбой ввести пароль, якобы для внесения изменений в систему. Если пароль оказывался верным, он сохранялся и использовался для последующего выполнения команд с повышенными привилегиями. Таким образом злоумышленники получали почти полный контроль над компьютером.
Удивительно, но весь процесс от первой загрузки до выгрузки данных занял меньше двух минут. Собранные файлы были упакованы в архив, разделены на части по 25 мегабайт и отправлены на удалённый сервер lakhov[.]com. Если этот адрес не отвечал, срабатывал запасной вариант с конкретным IP-адресом. После успешной выгрузки все временные файлы на атакованном устройстве удалялись.
Но даже после такой быстрой атаки злоумышленники не остановились. Они установили на систему постоянный скрытый модуль, который маскировался под легальное программное обеспечение macOS. Модуль размещался в папке ".com.apple.accountsd" и регистрировался как системная служба "com.apple.accountsd.helper". Интересно, что в коде этого модуля разработчики вредоносного ПО не стали скрывать имя переменной "botDir", что может указывать на спешку или на то, что атака носила экспериментальный характер.
Этот инцидент показывает опасный поворот в эволюции программ-вымогателей. Раньше AMOS Stealer распространялся через отравление результатов поиска или поддельные руководства по технической поддержке с элементами искусственного интеллекта. Теперь же злоумышленники нашли способ заставить сам AI-агент исполнять вредоносные команды, что делает атаку гораздо сложнее для обнаружения. Разработчики, использующие AI-помощников при программировании, должны быть особенно внимательными, а компаниям стоит внедрять постоянный аудит всех команд, которые выполняют AI-агенты, особенно тех, что связаны с загрузкой файлов и изменением прав доступа.
Индикаторы компрометации
IPv4
- 45.94.47.204
- 92.246.136.14
Domains
- arkypc.com
- foto.gd
- lakhov.com
- mpasvw.com
- ouilov.com
MD5
- 312147c0ae0d555a4d50fa627ff7d4f3
- c54620dd3745fdeaff5ccc0db4132f11
SHA1
- 62360ea3b0030238b31dcae402f94c9c73474154
- df297141e4676b40c29739033468d58163280067
SHA256
- 8ef98fd781a6f1869657fc1acbc9b43a228a99e6fa5fe39c47cce8ab58066596
- c11bfc200c363ef76ad40b717b5a850daf699f6fa64a26a8ecf7848711bdbd9c
