5 декабря 2025 года специалисты компании Huntress, занимающейся расследованием инцидентов, проанализировали предупреждение о заражении Atomic macOS Stealer (AMOS). Изначально всё казалось рутинным: эксфильтрация данных, стандартные механизмы обеспечения устойчивости (persistence) вредоноса AMOS, отсутствие необычных индикаторов в телеметрии. Команда ожидала увидеть привычные векторы доставки: фишинговую ссылку, троянизированный установщик или приманку в стиле ClickFix. Однако ничего этого не было: ни фишингового письма, ни вредоносного инсталлятора, ни знакомой уловки. Вместо этого путь к заражению начался с обычного поиска в Google и консультации с ChatGPT.
Описание
Пользователь ввёл в строку поиска безобидный запрос: «Clear disk space on macOS». Среди первых результатов выдачи оказались ссылки на диалоги с ChatGPT и Grok, размещённые на официальных платформах. Эти диалоги, оптимизированные с помощью SEO-отравления (SEO poisoning), предлагали вежливые пошаговые инструкции по очистке диска, включая команды для Терминала macOS, представленные как «безопасные инструкции по очистке системы». Доверившись авторитету поисковика и знакомому интерфейсу ИИ-помощника, пользователь скопировал и выполнил предложенную команду. Это действие запустило цепочку заражения, в результате которой на компьютер была установлена версия инфостилера (stealer) AMOS, беззвучно похитившая пароли, повысившая привилегии до root и развернувшая устойчивое вредоносное ПО.
Данная кампания знаменует фундаментальную эволюцию в социальной инженерии. Злоумышленники больше не просто имитируют доверенные платформы; они активно используют их, отравляя результаты поиска, чтобы их вредоносная «помощь» появлялась первым ответом для жертв. Вредоносу теперь не нужно маскироваться под чистое ПО, когда он может маскироваться под инструкцию. Этот метод особенно эффективен, поскольку он обходит традиционные защитные механизмы macOS, такие как Gatekeeper, которые не проверяют скрипты или однострочные команды, вводимые напрямую в Терминал.
Технический анализ атаки
Инфекционная цепочка начиналась с выполнения команды, содержащей base64-кодированный URL. После декодирования команда загружала вредоносный bash-скрипт с контролируемого злоумышленниками сервера. Первый этап был сосредоточен на сборе учетных данных и скрытом повышении привилегий. Скрипт отображал пользователю запрос на ввод «системного пароля», который, вопреки внешнему виду, не был настоящим системным диалогом macOS.
Полученный пароль проверялся в фоновом режиме с помощью команды "dscl -authonly", а затем записывался в открытом виде в скрытый файл "/tmp/.pass". Подтверждённые учётные данные немедленно использовались для получения прав суперпользователя: пароль передавался в команду "sudo -S", позволяя выполнять последующие команды с правами root без какого-либо дополнительного взаимодействия с пользователем. Это предоставляло злоумышленникам полный административный контроль над конечной точкой.
На втором этапе загрузчик скачивал и устанавливал основную полезную нагрузку (payload) - исполняемый файл Mach-O, подписанный ad-hoc, который копировался в скрытое место в домашнем каталоге пользователя: "/Users/$USER/.helper". Кроме того, скрипт проверял наличие в системе криптокошельков Ledger Wallet и Trezor Suite. При их обнаружении они заменялись на троянизированные версии, которые под предлогом безопасности запрашивали у пользователя сид-фразу для восстановления кошелька, перехватывая эти конфиденциальные данные.
Устойчивость вредоноса обеспечивалась на третьем этапе через механизм LaunchDaemon. В систему добавлялся файл "/Library/LaunchDaemons/com.finder.helper.plist", который при каждой перезагрузке запускал скрипт-сторожевой пёс (watchdog loop) на AppleScript. Этот скрипт непрерывно, каждую секунду, проверял активность пользовательской сессии и перезапускал основной вредоносный бинарный файл ".helper" в контексте текущего пользователя. Такой подход гарантировал постоянное выполнение и доступ к данным пользовательской сессии, таким как пароли в браузерах и ключи из связки ключей (Keychain), даже после перезагрузок или попыток завершить процесс.
Основные возможности стилера AMOS оставались прежними и были направлены на сбор высокоценных данных: учетных записей из браузеров, данных из связки ключей macOS, файлов криптокошельков (Electrum, Exodus, MetaMask и других) и конфигурационных файлов. Вся собранная информация упаковывалась и эксфильтровалась на серверы злоумышленников.
Эволюция тактик угроз
Эта кампания демонстрирует значительный сдвиг в методах работы злоумышленников, атакующих macOS. Ключевыми новшествами стали эксплуатация доверия к ИИ и доставка через прямое копирование команд в Терминал. Во-первых, атакующие успешно мимикрируют под тон, форматирование и стиль легитимного контента, генерируемого ИИ-помощниками. Пользователи уверенно выполняют команды, рекомендованные ChatGPT или Grok, не задумываясь о проверке их безопасности. Отравление поисковой выдачи гарантирует, что вредоносный «совет» в формате ИИ появляется как первый и самый доверенный ответ на рутинные запросы.
Во-вторых, использование метода «скопировал-вставил» в Терминал полностью обходит традиционные барьеры. Gatekeeper не проверяет скрипты или однострочные команды, введённые вручную, что позволяет им выполняться без каких-либо предупреждений системы безопасности. Это устраняет необходимость в установщиках, взломанных приложениях или обходах Gatekeeper. Вместо загрузки подозрительного файла жертвы сами компрометируют свою систему, копируя команду прямо из браузера.
Рекомендации по обнаружению и защите
Традиционные сигнатурные методы обнаружения могут быть неэффективны против такой атаки, поскольку начальный вектор - выполнение пользовательской команды - выглядит идентично легитимным административным задачам. Поэтому защита должна смещаться в сторону поведенческого анализа.
Для специалистов по безопасности рекомендуется мониторить следующие аномалии: запросы учетных данных через "osascript", нестандартное использование "dscl -authonly" в пользовательских bash-скриптах, использование "system_profiler" для обнаружения эмуляторов (признак анти-анализа), процессы, запускаемые через "sudo -u" с паролем, переданным через стандартный ввод (stdin), а также появление скрытых исполняемых файлов (с префиксом ".") в домашних каталогах пользователей.
Для конечных пользователей критически важно соблюдать осторожность: никогда не выполнять команды Терминала из незнакомых источников, даже если они кажутся размещенными на доверенных платформах. Следует относиться с подозрением к любым утилитам, запрашивающим пароль, в безопасности которых нет полной уверенности. Использование надёжных случайных паролей и менеджера паролей может помочь минимизировать ущерб в случае компрометации.
Заключение
Путь доставки через отравление ИИ, использованный в этой кампании AMOS, представляет собой качественный сдвиг в методах социальной инженерии. Злоумышленники больше не пытаются преодолеть скептицизм пользователя; они напрямую используют его доверие к авторитетным платформам и привычным рабочим процессам. Традиционная доставка вредоносного ПО боролась с инстинктами: фишинговые письма вызывали подозрения, взломанные установщики - предупреждения. Но копирование команды из доверенного ИИ-помощника для решения насущной проблемы ощущается как продуктивное и безопасное действие.
Эта стратегия является прорывом, поскольку атакующие обнаружили канал доставки, который не только обходит технические средства контроля, но и полностью игнорирует человеческую модель угроз. Техническая изощрённость - скрытый сбор учётных данных, устойчивость в контексте GUI, троянизация кошельков - лишь усугубляет проблему. Однако реальная история заключается не в том, что происходит после заражения, а в том, насколько легко оно начинается.
По мере того как ИИ-ассистенты всё глубже внедряются в повседневные рабочие процессы и операционные системы, можно ожидать распространения этого метода доставки. Он слишком эффективен, масштабируем и сложен для блокировки традиционными средствами. Защитные стратегии должны эволюционировать за пределы мониторинга статических артефактов, включив поведенческое обнаружение аномальных паттернов аутентификации, нестандартных цепочек выполнения процессов и отклонений от базового поведения оболочки. В конечном счёте, технология сама по себе не решит эту проблему. Пользователям необходимо осознать, что доверие к платформе не распространяется автоматически на создаваемый пользователями контент. Самые опасные атаки нацелены не на код, а на поведение и людей, и в 2025 году это означает эксплуатацию наших отношений с искусственным интеллектом.
Индикаторы компрометации
IPv4
- 45.94.47.186
- 45.94.47.205
URLs
- https://sanchang.org
- https://wbehub.org
SHA256
- 276db4f1dd88e514f18649c5472559aed0b2599aa1f1d3f26bd9bc51d1c62166
- 340c48d5a0c32c9295ca5e60e4af9671c2139a2b488994763abe6449ddfc32aa
- 68017df4a49e315e49b6e0d134b9c30bae8ece82cf9de045d5f56550d5f59fe1
- ab60bb9c33ccf3f2f9553447babb902cdd9a85abce743c97ad02cbc1506bf9eb
- e1ca6181898b497728a14a5271ce0d5d05629ea4e80bb745c91f1ae648eb5e11
