Революция угроз для macOS: Atomic Stealer теперь с бэкдором для постоянного контроля

Теперь злоумышленники не просто воруют данные - они получают неограниченный удаленный контроль над зараженными устройствами, сохраняя доступ даже после перезагрузки системы. Это лишь второй известный случай после северокорейских APT-групп, когда бэкдор такого уровня внедряется в macOS в мировом масштабе.

Ранние версии AMOS фокусировались на хищении криптовалютных кошельков, паролей браузеров и конфиденциальных документов. Новая же модификация включает встраиваемый бэкдор, кардинально меняющий ландшафт угроз. Злоумышленники могут выполнять произвольные команды, устанавливать кейлоггеры, перехватывать сессии пользователей и поддерживать постоянное присутствие в системе. Угроза эволюционировала от точечного воровства к полной компрометации цифровой жизни жертвы. Технический анализ Moonlock выявил изощренные механизмы внедрения: троянизированные DMG-файлы, маскирующиеся под легитные установщики, используют социальную инженерию для обхода Gatekeeper. После запуска скрытый Mach-O-файл ".Installer" активирует bash-скрипт, который копирует вредоносный код в /tmp/, снимает атрибуты безопасности через xattr и запускает основной пейлоад.

Ключевое новшество - функция installBot в AppleScript-логике. Она разворачивает двухуровневую систему персистенции. Сначала через curl загружается исполняемый файл ".helper" (второй этап) в домашнюю директорию пользователя. Затем создается скрипт ".agent", действующий как посредник: он непрерывно запускает ".helper" под учетной записью пользователя, используя цикл while true. Для автоматизации этого процесса при каждой загрузке системы генерируется LaunchDaemon (com.finder.helper.plist), который прописывается в системные директории через эскалацию привилегий с использованием пароля, полученного через фишинговое окно. Установка демона выполняется командой sudo, что гарантирует выживаемость бэкдора. Вся цепочка: LaunchDaemon → .agent → .helper - обеспечивает устойчивость и скрытность.

Бэкдор использует сложную систему коммуникации с C2-серверами (45.94.47.145, 45.94.47.147). Каждое зараженное устройство получает уникальный идентификатор, записываемый в файл $HOME/.id. Каждые 60 секунды бэкдор отправляет HTTP-запросы на /api/tasks/, ожидая команды. Поддерживаются операции execute (удаленное выполнение команд), pong (ожидание), repeat (повтор запроса) и delete (самоуничтожение с очисткой следов). Такая модель превращает инфицированные Mac в "ботов", готовых выполнять произвольные вредоносные сценарии - от кражи файлов до атак на корпоративные сети. Особую тревогу вызывает функция проверки на анализ: код содержит сценарии osascript, детектирующие признаки виртуальных сред (QEMU, VMware) по данным system_profiler, что усложняет исследование в песочницах.

Moonlock проводит прямые параллели с тактикой северокорейских хакеров Lazarus Group, которые первыми массово внедрили связку "стилер + бэкдор" в атаках на macOS. Их схема начиналась с фишинга через LinkedIn под видом предложения работы, где жертве подсовывали бэкдор, замаскированный под ПО для видеоконференций. Однако если Lazarus действовали точечно для быстрой кражи криптоактивов, то AMOS теперь ориентирован на долгосрочный шпионаж. Распространение идёт двумя путями: через сайты с пиратским софтом и целевой фишинг против крупных держателей криптовалют. В последнем случае злоумышленники имитируют процесс трудоустройства, вынуждая жертву включить доступ к экрану и ввести пароль.

Статистика MoonlockLab показывает взрывной рост AMOS в 2024 году: количество уникальных образцов увеличилось на 200% с января. С внедрением бэкдора прогнозируется экспоненциальный рост угрозы, особенно на фоне модели Malware-as-a-Service, позволяющей киберпреступникам арендовать AMOS. Уже сейчас 45% всех зафиксированных атак на macOS связаны с этим семейством. Если тенденция сохранится, к середине 2025 года доля устройств под скрытым контролем бэкдоров может достичь критических значений.

Moonlock подчеркивает: миф о неуязвимости macOS окончательно разрушен. Интеграция бэкдора в AMOS - не просто апгрейд, а стратегический шаг к созданию ботнета из Mac-устройств. Каждое заражение теперь - это не разовая кража, а долгосрочный шпионский плацдарм. Эксперты продолжат мониторинг C2-инфраструктуры и публикуют сигнатуры для SOC-команд. В условиях, когда киберпреступники копируют тактику государственных APT-групп, осведомленность и многоуровневая защита становятся критически важными для миллионов пользователей по всему миру. Эпоха "безопасного по умолчанию" macOS закончилась - начинается время активной обороны.

IPv4

• 45.94.47.145
• 45.94.47.146
• 45.94.47.147
• 45.94.47.157
• 45.94.47.158

URLs

• http://45.94.47.145/contact
• http://45.94.47.146/contact
• http://45.94.47.147/admin/
• http://45.94.47.147/api/tasks/
• http://45.94.47.147/api/tasks/9QJbEC/EERxAqGvw8V1BZg==
• http://45.94.47.147/api/tasks/FWtP43GDj4l+4RbC1gVxXA==
• http://45.94.47.147/api/tasks/Rfd1YPcLqJXid4K3VAAAA==
• http://45.94.47.147/api/tasks/rj6LeUfFRSCCK0HeLmXO1w==
• http://45.94.47.147/api/tasks/TD/kwWdt1lsY9Dueve5pig
• http://45.94.47.147/api/tasks/VXKnM+CklPlZp+qUeBackw==
• http://45.94.47.147/contact

SHA256

• 11e55fa23f0303ae949f1f1d7766b79faf0eb77bccb6f976f519a29fe51ce838
• 3402883ff6efadf0cc8b7434a0530fb769de5549b0e9510dfdd23bc0689670d6
• 54b9576aad25d54d703adb9a26feaa5d80f44b94731ff8ecff7cf1ebc15cf3ff
• 8d8b40e87d3011de5b33103df2ed4ec81458b2a2f8807fbb7ffdbc351c7c7b5e
• ec11fd865c2f502c47f100131f699a5e0589092e722a0820e96bd698364eefdb
• f4976d9a90d2f9868fcaade1449ffcf9982ed2285ace90aafa7099ce246fd2ec