В социальных сетях, особенно на платформе X (ранее Twitter), активно обсуждается появление нового вредоносного ПО для macOS, созданного пользователем под ником @mentalpositive. Этот стилер, как сообщают энтузиасты кибербезопасности, ориентирован на кражу данных пользователей Ledger Live и других криптовалютных кошельков, причем его активность прогнозируется на 2025 год. Первичный анализ указывает на возможную связь с печально известным Atomic macOS Stealer (AMOS), который терроризировал пользователей в 2023 году. Однако возникает ключевой вопрос: является ли этот инструмент простым ребрендингом старой угрозы или же он несет в себе принципиально новые опасности, способные изменить ландшафт цифровой безопасности для владельцев устройств Apple?
Описание
Чтобы понять природу новой угрозы, необходимо вспомнить, чем был AMOS. Atomic macOS Stealer установил новый стандарт для вредоносов, атакующих Mac, благодаря своей универсальности и изощренности. В отличие от примитивных сборщиков данных, AMOS мог извлекать широкий спектр конфиденциальной информации: пароли браузеров, детали системы, записи Keychain, а также ключи от криптокошельков, включая MetaMask и Ledger Live. Распространялся он преимущественно через фишинговые рассылки, взломанные приложения и поддельные программы, мимикрирующие под легитимный софт. После внедрения AMOS использовал скрытые механизмы, такие как Launch Agents и фоновые процессы, для обеспечения устойчивости и незаметности. Данные передавались по зашифрованным каналам, а серверы оперативно менялись, чтобы избежать блокировки. Особенностью AMOS была его бизнес-модель: он предлагался как услуга (MaaS), где любой злоумышленник мог арендовать вредонос, войти в веб-панель, использовать инструменты вроде MetaMask для подбора паролей и получать украденные данные через Telegram. Это был не просто вирус, а комплексное решение для киберпреступности, снижавшее порог входа для злоумышленников.
Новый стилер от @mentalpositive демонстрирует знакомые черты, но с заметными техническими отличиями. На старте он применяет классическую технику Unix-демонизации, используя комбинации системных вызовов _fork, _setsid и _close, чтобы открепиться от управляющего терминала и сессионного менеджера. Это позволяет ему избегать обнаружения в интерактивных средах отладки или песочницах. Сразу после этого вредонос принудительно завершает процессы, связанные с терминалом, через вызовы kill(), блокируя вмешательство пользователя и гарантируя беспрерывность работы. Эта тактика вписывается в его общую стратегию антианализа и персистентности. Далее стилер имитирует легитимное поведение системы, запрашивая пароль администратора через диалоговое окно, аналогичное тому, что использовал AMOS. При вводе пароля происходит локальная проверка его корректности через механизмы аутентификации macOS, такие как системный Keychain. После получения привилегий вредонос фокусируется на критически важных файлах: login.keychain-db и директории /password, откуда извлекает сохраненные учетные данные. Все собранные данные консолидируются в файл information.txt, который помечается уникальной сигнатурой: "mac.c macOS stealer by mentalpositive". Это не только маркер авторства, но и индикатор для последующей эксфильтрации.
Сбор информации у стилера @mentalpositive отличается расширенным охватом. Он систематически обходит установленные браузеры, криптовалютные кошельки и расширения, включая не только стандартные цели AMOS вроде MetaMask, но и дополнительные варианты, такие как Binance Chain Wallet и Trust Wallet. Это увеличивает потенциальный ущерб, особенно для пользователей, хранящих активы в менее популярных сервисах. Извлеченные данные - логины, ключи кошельков, кэши сессий - упаковываются в архив log.zip, готовый к отправке злоумышленникам. Сетевое поведение включает отправку HTTP-запросов с уникальными Build ID, такими как JENYA, SHELLS и BARNI. Эти идентификаторы, вероятно, служат для различения сборок или кампаний распространения, упрощая управление атаками для операторов. Данные передаются на заранее заданные URL, демонстрируя типичную для стилеров модель поведения. Завершает работу вредоноса отображение фальшивого системного окна, имитирующего обновление, что отвлекает пользователя, пока происходит финальная стадия эксфильтрации - прямая параллель с тактикой AMOS.
Сравнение двух угроз выявляет как преемственность, так и эволюционные изменения. В области обфускации кода AMOS использовал сложные методы запутывания, затрудняя анализ, тогда как код @mentalpositive остается относительно читаемым, что упрощает его исследование, но может указывать на раннюю стадию разработки. Языки программирования также различаются: если AMOS полагался на C++ и Go для кроссплатформенности, новый стилер написан на Objective-C и Swift, что подчеркивает его ориентацию на нативные функции macOS. В эскалации привилегий оба инструмента запрашивают пароль администратора, но @mentalpositive добавляет локальную проверку его валидности, тогда как AMOS чаще сразу эксфильтрировал учетные данные. При краже данных оба нацелены на браузеры и кошельки, но новичок расширяет список целей, включая экзотические криптовалютные сервисы, что повышает риски для нишевых инвесторов. Антианалитические техники у AMOS были изощреннее - с активным противодействием отладке, - тогда как @mentalpositive ограничивается базовой демонизацией и убийством терминальных процессов. Сетевое поведение схоже, но Build ID в новом стилере позволяют точечно отслеживать кампании, добавляя гибкости злоумышленникам. Объединяет их и метод дезинформации пользователя через фальшивые окна, хотя @mentalpositive показывает их в финале, маскируя эксфильтрацию.
Глобально, стилер mentalpositive наследует функциональное ядро AMOS, но пока уступает в сложности механизмов защиты и уклонения. Это может свидетельствовать либо о его "юном" статусе, либо о сознательном упрощении для снижения детектируемости. Однако отсутствие продвинутых функций не делает угрозу менее опасной: его фокус на криптовалютах и улучшенный сбор данных создают прямые риски для финансовой безопасности. Эксперты отмечают, что число атак на macOS растет экспоненциально, чему способствует миф о его "неуязвимости" и популярность среди обеспеченных пользователей, часто владеющих цифровыми активами. В этом контексте стилеры, подобные разработке @mentalpositive, представляют особую опасность - они адаптируют проверенные тактики под новые реалии, используя социальную инженерию и пробелы в бдительности жертв.
Появление стилеров вроде разработки @mentalpositive - не повод для паники, но серьезный сигнал: угрозы для macOS эволюционируют, и только проактивная защита может предотвратить катастрофические утечки данных и потерю активов. Бдительность и технологическая грамотность остаются главными щитами в эпоху, когда киберпреступность становится все более изощренной и целевой.
Индикаторы компрометации
MD5
- 36a5b365551b6596690eebc94d86ba61
- 45cc9aca6f226130a05056efabda2da8
- f57d595d6cee023b947ac32055012255