Главная страница » Индикаторы компрометации
0
сейчас
Индикаторы компрометации

Российские хакеры атакуют macOS через поддельные сайты Spectrum с новым вариантом AMOS-стеалера

Stealer

Исследователи компании CloudSEK обнаружили сложную кампанию по распространению новой версии Atomic macOS Stealer (AMOS) с использованием поддельных доменов, имитирующих сайт американского телеком-провайдера Spectrum. Атака, замаскированная под проверку CAPTCHA, использует динамические полезные нагрузки, адаптированные под операционную систему жертвы. В случае macOS злоумышленники заставляют пользователей выполнить вредоносный скрипт, который крадет системные пароли, обходит защитные механизмы и загружает AMOS (Atomic macOS Stealer) для дальнейшего заражения.

Описание

Кампания использует метод Clickfix: жертвам предлагается скопировать и выполнить команду, якобы для прохождения верификации. В зависимости от операционной системы пользователя подгружается разный вредоносный код. Для Windows это PowerShell-скрипт, загружающий дополнительную нагрузку, а для macOS - Bash-скрипт, который ворует пароли через системные команды и запускает AMOS.

Особую тревогу вызывает наличие русскоязычных комментариев в исходном коде, что указывает на возможное участие русскоговорящих киберпреступников. При этом исследователи отмечают небрежность в реализации: например, Linux-пользователям предлагается выполнить PowerShell-команду, а инструкции для Windows отображаются и на macOS.

Анализ показал, что скрипт для macOS использует dscl . -authonly для проверки пароля, сохраняет его в /tmp/.pass, а затем загружает и запускает вредоносный файл update, относящийся к семейству AMOS. Последние вариации этого стилера, такие как Poseidon и Odyssey, активно используются злоумышленниками.

Эксперты предупреждают, что подобные атаки демонстрируют растущую тенденцию к многоплатформенным социальным инженерным атакам, направленным как на частных пользователей, так и на корпоративные сети. Организациям рекомендуется усилить защиту, обучать сотрудников распознаванию фишинга и следить за новыми угрозами в сфере macOS-малвари.

Индикаторы компрометации

Domains

  • applemacios.com
  • cf-verifi.pages.dev
  • panel-spectrum.net
  • rugme.cat
  • spectrum-ticket.net

URLs

  • https://applemacios.com/getrur/install.sh
  • https://applemacios.com/getrur/update
  • https://cf-verifi.pages.dev/i.txt

MD5

  • eaedee8fc9fe336bcde021bf243e332a
Комментарии: 0
Похожие записи
0
3 дня
Индикаторы компрометации

Новый вариант ViperSoftX 2025: повышенная скрытность и модульность

Stealer
В начале 2025 года в подпольных форумах и сообществах кибербезопасности появились новые образцы вредоносного ПО на основе PowerShell. Анализ показал, что это эволюционировавшая версия ViperSoftX - известного
0
5 дней
Индикаторы компрометации

Lumma Stealer атакует через поддельные PDF: злоумышленники используют инфраструктуру учебных заведений

Stealer
Киберпреступники активно распространяют вредоносное ПО Lumma Stealer, маскируя его под PDF-документы и используя скомпрометированные серверы образовательных учреждений.
1
7 дней
Индикаторы компрометации

Новый Rust-стилер EDDIESTEALER распространяется через фальшивые CAPTCHA-кампании

Stealer
Злоумышленники используют социальную инженерию, заставляя пользователей выполнять вредоносные PowerShell-команды, которые загружают и запускают этот стилер данных.
0
9 дней
Индикаторы компрометации

StealC v2: новый уровень угрозы для данных пользователей

Stealer
В марте 2025 года появилась вторая версия вредоносного ПО StealC, значительно усилившая свои возможности по краже данных и скрытности. Разработчики внедрили JSON-протокол для взаимодействия с сервером