В последние недели эксперты по кибербезопасности Moonlock и Jamf Threat Labs опубликовали новые данные о последней версии инфостилера Atomic Stealer (AMOS), включая обнаруженный в нем бэкдор. Параллельно Jamf Threat Labs провела собственное исследование образцов, демонстрирующих схожие характеристики, и обнаружила, что злоумышленники теперь активно используют подписанные и нотаризованные приложения для обхода защитных механизмов macOS.
Описание
Кодовая подпись как инструмент атакующего
В процессе анализа образцов, собранных из различных источников, исследователи Jamf Threat Labs обратили внимание на бинарный файл Mach-O с хешем SHA256 dec750b9d596b14aeab1ed6f6d6d370022443ceceb127e7d2468b903c2d9477a. Главной особенностью оказалось то, что, согласно данным VirusTotal, файл был подписан действительным Apple Developer ID.
После детального изучения подтвердилось, что файл действительно прошел код-сайнинг и нотаризацию. Это особенно тревожно, учитывая его вредоносную природу - подписанные приложения не блокируются встроенными механизмами macOS, такими как Gatekeeper или XProtect, что делает их идеальным инструментом для злоумышленников.
Социальная инженерия и техника обмана
Образец распространялся через DMG-образ, стандартный метод доставки macOS-инфостилеров. Приложение называлось "Gmeet_updater.app", но фактически представляло собой подделку, имитирующую обновление Google Meet. Любопытно, что, несмотря на наличие валидной подписи, злоумышленники все равно использовали стандартный трюк с "правым кликом и запуском в обход Gatekeeper" - возможно, из-за спешки или небрежности в процессе упаковки.
После идентификации злонамеренного использования Apple Developer ID Jamf Threat Labs уведомили Apple, и вскоре сертификат был отозван.
Как работает заражение?
Анализ показал, что этот вариант Odyssey Stealer имеет ряд отличий от предыдущих версий AMOS. В частности, после запуска вредоносное ПО отображает поддельный интерфейс "Technician Panel", написанный на SwiftUI, что делает его более убедительным для пользователей.
Пока жертва взаимодействует с фальшивым интерфейсом, приложение в фоновом режиме загружает дополнительный AppleScript-скрипт с сервера allteching.xyz. Скрипт сохраняется во временной директории, после чего запускается через терминал. Далее появляется стандартное окно ввода пароля macOS, но с одним ключевым отличием - все функции внутри скрипта обфусцированы, затрудняя анализ.
Что крадет этот стилер?
Как и большинство инфостилеров, Odyssey собирает широкий спектр конфиденциальных данных:
- Логины, пароли и куки из Safari, Chrome, Firefox и других браузеров.
- Криптокошельки (Electrum, Exodus, Atomic, Ledger Live).
- Файлы с рабочего стола и папки "Документы" (.txt, .pdf, .key).
- Доступ к связке ключей (Keychain).
- Содержимое заметок Apple Notes.
Вся информация архивируется в /tmp/out.zip и отправляется на сервер 45.146.130[.]131/log.
Бэкдор и замена приложений
Но Odyssey идет дальше простого сбора данных. Он:
- Заменяет легитимные приложения (например, Ledger Live) на модифицированные версии, загружаемые с сервера злоумышленников.
- Устанавливает бэкдор через LaunchDaemon с произвольным именем (например, "com.{random}.plist").
- Сохраняет конфигурацию в скрытых файлах (~/.botid, ~/.chost, ~/.username).
Второй этап: персистентный бэкдор
После кражи данных запускается вторая фаза - AppleScript, обеспечивающий постоянный доступ к системе. Он:
- Регистрирует устройство на C2-сервере и получает уникальный ID.
- Входит в цикл, периодически запрашивая команды от атакующего.
В зависимости от полученных инструкций, скрипт может:
- Выполнять произвольные команды через "curl | bash".
- Разворачивать SOCKS5-прокси через бинарник на Go, скачанный с сервера злоумышленников.
- Самоудаляться по команде (например, при неудачном подключении к C2).
Обход анализа: блокировка исследователей
Во время тестирования специалисты Jamf Threat Labs обнаружили, что после нескольких запусков вредоносное ПО перестает работать. Оказалось, что стилер использует методы фингерпринтинга для определения виртуальных машин и систем, используемых для анализа. Если подозревается исследовательская среда, код переходит в "тихий режим", избегая опасных действий, но оставляя бэкдор.
Вывод: новая волна подписанного вредоносного ПО
Jamf Threat Labs идентифицировали как минимум три различных образца macOS-инфостилеров, подписанных одним и тем же Team ID (A2FTSWF4A2). Это свидетельствует о том, что злоумышленники активно используют подписанные приложения для обхода защит macOS.
Киберпреступники не стоят на месте, и их методы становятся все изощреннее. Важно оставаться бдительными и применять комплексные меры защиты.
Индикаторы компрометации
IPv4
45.146.130.131
URLs
- http://45.146.130.131/api/v1/bot/actions/
- http://45.146.130.131/api/v1/bot/joinsystem/
- http://45.146.130.131/api/v1/bot/repeat/
- http://45.146.130.131/log
- http://45.146.130.131/otherassets/ledger.zip
- http://45.146.130.131/otherassets/plist
- http://45.146.130.131/otherassets/socks
SHA256
- 02e1a036b5d459a883abaf0cf5dd2ecdcad349e10416c241a564144b32fd0864
- 20368580a775b6f8b07be0a59cb57cb8b9b5fd8fbea41d90f4f10b9ebb588f50
- 672f9b63a2c00a1376ab22589c05d8f7aef19a1dfc50cc6ea66d75aa741793d6
- 82b73222629ce27531f57bae6800831a169dff71849e1d7e790d9bd9eb6e9ee7
- 86d351e18a549d16d687f87ee516eefa811549fe697c137b188d5858229c7f73
- 8bfdd239da6948b4903a92287cd6e15f86d96187c36ed75e796d99adcc09f66f
- b62dc580707d0d968c7070a05b04ca7ec61d5ad14333df1c4f327f3c0e6ed3fb
- cd78a77d40682311fd30d74462fb3e614cbc4ea79c3c0894ba856a01557fd7c0
- d40652486f6d0a0cb01a1d77ebc2d1569f4beb22b60de2206ec5db41e4efb2fd
- dec750b9d596b14aeab1ed6f6d6d370022443ceceb127e7d2468b903c2d9477a
