Платформа macOS всё чаще становится мишенью для киберпреступников. Очередное подтверждение этому - инцидент, который расследовали эксперты компании Sophos в рамках услуги Managed Detection and Response (MDR). Они обнаружили заражение компьютера под управлением macOS опасным инфостилером AMOS. Эта вредоносная программа известна с апреля 2023 года и продолжает активно развиваться. По данным исследователей, в 2025 году AMOS составлял почти 40% всех обновлений защитных продуктов Sophos для macOS, что более чем вдвое превышает показатели любого другого семейства вредоносных ПО для этой платформы.
Описание
Злоумышленники использовали приём ClickFix - разновидность социальной инженерии. Пользователь перешёл на подконтрольный атакующим сайт, где ему предложили выполнить команду в терминале macOS. Подобная техника уже применялась ранее: например, в марте 2025 года та же Sophos сообщала о вариантах инфостилера MacSync, распространявшихся аналогичным образом. ClickFix заставляет жертву самостоятельно запустить вредоносный код, что обходит традиционные механизмы защиты.
Специалисты Sophos в своём отчёте подробно описали цепочку атаки. Всё начинается с того, что пользователь копирует команду из поддельного сайта и выполняет её в терминале. На самом деле эта команда загружает и запускает скрипт первого этапа, который связывается с сервером злоумышленников. Затем программа запрашивает пароль учётной записи macOS. Она не просто показывает окно, а проверяет введённый пароль локально с помощью системной утилиты dscl. Если пароль верен, он сохраняется в скрытый файл для последующего использования. После этого загружается второй этап - полезная нагрузка, которая получает права root через sudo, используя сохранённый пароль.
Чтобы избежать обнаружения, вредоносная программа проверяет, не запущена ли она в виртуальной среде. Она опрашивает системный профилировщик и ищет признаки QEMU, VMware или KVM. Если среда кажется подозрительной, работа может остановиться. В случае успешного прохождения этой проверки начинается сбор данных. AMOS извлекает содержимое связки ключей macOS (Keychain), профили браузеров Chrome и Firefox, файлы расширений и IndexedDB, локальные токены сессий. В проанализированном варианте программа также включала модули, эмулирующие приложения для криптокошельков Ledger и Trezor, что позволяет воровать сид-фразы и учётные данные криптовалют.
Собранные данные упаковываются в архив с помощью стандартной утилиты ditto и отправляются POST-запросом на сервер управления (C2). Адрес командного сервера и IP-адрес для отправки данных жёстко прописаны в коде. После завершения кражи выполняется закрепление в системе: скрытый вспомогательный файл помещается в каталог библиотеки, а через механизм LaunchDaemon (системный сервис для автозапуска) добавляется задание, которое запускает вредоносный код при каждой загрузке компьютера. Кроме того, заражённое устройство регулярно связывается с C2 для получения новых команд.
Последствия такой атаки могут быть крайне серьёзными. Кража паролей из Keychain даёт доступ к учётным записям, сохранённым на компьютере. Данные браузеров позволяют захватить сессии в веб-сервисах, включая почту, социальные сети и корпоративные приложения. Информация о криптокошельках приводит к финансовым потерям. Учитывая, что AMOS распространяется как услуга (MaaS) и его арендуют разные группировки, количество жертв может быть значительным.
Важно понимать, что главный вектор атаки - человеческая ошибка. Злоумышленники не использовали уязвимости в macOS или приложениях. Они просто обманом заставили пользователя выполнить вредоносную команду. Подобные схемы ClickFix становятся всё популярнее, в том числе с применением приманок, связанных с искусственным интеллектом: например, поддельных страниц ChatGPT или Grok. Это ещё раз подчёркивает, что даже надёжная защита операционной системы не спасает, если жертва сама запускает вредоносный код.
Рекомендуется соблюдать базовые правила гигиены. Никогда не вводить команды из интернета в терминал, если вы не уверены в их источнике. С осторожностью относиться к всплывающим окнам, требующим пароль. Использовать антивирусные решения с поведенческим анализом, способные обнаружить подозрительную активность скриптов. Кроме того, стоит отключить автоматическое выполнение сценариев из браузера и настроить регулярные проверки системы.
Новый инцидент с AMOS показывает, что угроза для macOS не ослабевает. Напротив, злоумышленники совершенствуют методы социальной инженерии и нацелены на кражу всех доступных данных. Бизнесу, использующему компьютеры Apple, следует учитывать эту тенденцию и усиливать обучение сотрудников основам информационной безопасности. Без бдительности пользователей любые технические средства защиты оказываются бесполезными.
Индикаторы компрометации
IPv4
- 199.217.98.33
- 38.244.158.56
- 45.94.47.204
- 45.94.47.205
Domains
- sassonco.com
- sphereou.com
URLs
- http://45.94.47.204/api/join/
- http://45.94.47.204/api/tasks/
SHA256
- affb4e6919fd3d1532c5a9e3479c5a0f6585fac95fc1ba53d931f383bb340fdc
- c6a4e6ea6d8f31cfadd93c203dadc3ab1e4f50cca504227049aeb579850d009c
