Впервые AMOS был обнаружен в апреле 2023 года. В то время он сдавался в аренду злоумышленникам через Telegram за 1000 долларов в месяц. Первоначальная версия, написанная на языке Go, обладала типичными для краж функциями, такими как кража паролей, файлов, данных браузера и так далее. Она также создавала поддельные запросы на получение пароля, пытаясь получить системный пароль.
В новой версии изменилось несколько вещей, прежде всего, язык программирования. Теперь AMOS написан на C, а не на Go. Нам также удалось определить вектор заражения: вредоносная реклама. Подобно кампаниям Redline и Rhadamantys, сайты с популярным программным обеспечением клонируются, и пользователей заманивают на загрузку вредоносного ПО. Загруженный файл представляет собой DMG-образ, содержащий инструкции по установке вредоносной программы, как показано на рисунке ниже.
Первое, что делает вредоносная программа, - это получает имя пользователя и проверяет, пуст ли пароль или он не требуется. Если пароль требуется, а пользователь не вошел в систему, вредоносная программа создает всплывающее окно, используя osascript, с просьбой ввести пароль. Как только все будет готово, будут собраны следующие данные:
- База данных заметок
- Документы с рабочего стола и Документы
- Данные, связанные с браузером (куки, данные для входа и так далее), из таких браузеров, как Chrome и Edge.
- Криптовалютные кошельки (Binance, Exodus и другие)
- Данные мгновенного обмена сообщениями (Telegram, Discord и т. д.).
Данные запечатываются с помощью библиотеки "miniz" и отправляются на C2 по HTTP. Частью запроса является UUID, идентифицирующий покупателя вредоносного ПО или кампанию.
Что касается виктимологии, то Kaspersky Lab обнаружили заражения по всему миру, причем больше всего заражений приходится на Россию и Бразилию.
Indicators of Compromise
SHA256
- 3d13fae5e5febfa2833ce89ea1446607e8282a2699aafd3c8416ed085266e06f
- 9bf7692f8da52c3707447deb345b5645050de16acf917ae3ba325ea4e5913b37
