Атака AMOS Stealer: взломанные приложения для macOS стали оружием хакеров

Атака демонстрирует растущий интерес киберпреступников к платформе macOS, которая долгое время считалась более безопасной альтернативой Windows. По мере того как устройства Apple набирают популярность в корпоративной среде, они становятся всё более привлекательной мишенью для злоумышленников, стремящихся к краже конфиденциальных данных.

Основным вектором распространения AMOS выступают сайты, предлагающие нелицензионное программное обеспечение, такие как haxmac[.]cc. Пользователи, ищущие взломанные версии таких программ, как CleanMyMac, перенаправляются на подставные страницы, где им предлагают два варианта загрузки вредоносного содержимого: скачивание файла в формате .dmg или выполнение специальной команды в терминале macOS.

В первом сценарии жертва загружает дисковый образ, содержащий троянизированный установщик. Однако в последних версиях macOS, начиная с Sequoia, встроенный механизм безопасности Gatekeeper по умолчанию блокирует запуск неподписанных и непроверенных приложений, что значительно снижает эффективность этого метода.

Второй метод оказался более успешным. Пользователей просят вставить в терминал команду, которая загружает и запускает скрипт install.sh. Этот сценарий использует утилиты операционной системы, такие как curl и osascript, для загрузки основной полезной нагрузки - stealera, способного к широкому сбору конфиденциальной информации.

После выполнения скрипта AMOS крадёт учётные данные браузеров, данные криптовалютных кошельков, историю чатов Telegram, профили OpenVPN, элементы связки ключей (keychain), заметки из Apple Notes и файлы из системных папок. Собранные данные архивируются и передаются на серверы злоумышленников через HTTP/HTTPS запросы с использованием инструмента curl.

Для обеспечения постоянства присутствия в системе вредоносная программа регистрирует скрытую службу LaunchDaemon, которая гарантирует повторный запуск AMOS при каждой загрузке операционной системы. Это позволяет злоумышленникам сохранять доступ к устройству даже после перезагрузки.

Исследователи подчёркивают, что несмотря на усиление встроенных защитных механизмов macOS, социальная инженерия остаётся эффективным инструментом атак. Пользователи, сознательно обходящие предупреждения системы для установки взломанного программного обеспечения, подвергают риску не только свои личные данные, но и корпоративные активы в случае использования устройств в рабочей среде.

Для противодействия таким угрозам специалисты рекомендуют сочетать обучение пользователей с техническими мерами защиты: регулярное обновление операционной системы, применение комплексных решений для мониторинга конечных точек и сетевой активности, а также использование услуг Managed Detection and Response (MDR) для круглосуточного анализа угроз и быстрого реагирования на инциденты.

Растущая сложность атак на macOS подтверждает, что ни одна операционная система не является неуязвимой. Осведомлённость пользователей об угрозах и многоуровневая стратегия защиты становятся необходимыми элементами кибербезопасности в современной цифровой среде.

Domains

• dtxxbz1jq070725p93.cfd
• ekochist.com
• goipbp9080425d4.cfd
• halesmp.com
• haxmac.cc
• im9ov070725iqu.com
• jey90080425s.cfd
• misshon.com
• riv4d3dsr17042596.com
• toutentris.com
• x5vw0y8h70804254.cfd

URLs

• https://goatramz.com/get4/install.sh
• https://goatramz.com/get4/update
• https://letrucvert.com/get8/install.sh
• https://sivvino.com

SHA1

• aa534e2fc19c970adc6142cda3f0a3c4309d6e3e
• df92d2aac76ad76edeeb5fade987e1111d2742e7

SHA256

• 3ecf98f90cb170475eef315dad43e125b14757d7fbfdd213d5221c4e31467ee9
• 4a33e10c87795e93c10de3d1a59937909d0093cac937e2a09d3242e7b17a36ce
• 7a66c1a25b7caee9b6cc26a3199182379b6cdecc8196ac08be9fe03b4d193d6a