В мире информационной безопасности, где долгое время доминировали угрозы для Windows, растущая активность macOS-информационных воров (infostealers), нацеленных на пользователей Apple, вызывает серьезную озабоченность. Исследование Darktrace, компании в области кибербезопасности на основе искусственного интеллекта, проливает свет на одну из самых опасных новинок - Atomic macOS Stealer (AMOS). Этот зловред демонстрирует тревожную эволюцию, превращаясь из простого похитителя данных в инструмент для скрытного постоянного доступа (persistence) к системе.
Описание
От кражи данных к бэкдору: эскалация угрозы
Впервые обнаруженный в 2023 году, Atomic Stealer быстро завоевал популярность в преступных кругах благодаря модели Malware-as-a-Service (MaaS, «вредоносное ПО как услуга»). Изначально он был нацелен на кражу критически важной информации: паролей из связки ключей (Keychain), данных браузеров, файлов cookie и криптовалютных кошельков. Однако последние варианты этой угрозы обзавелись бэкдором - функцией, обеспечивающей злоумышленнику постоянный удаленный доступ к зараженному устройству.
Это дополнение кардинально меняет уровень опасности. Теперь Atomic Stealer позволяет не только одноразово похитить данные, но и закрепиться в системе для долгосрочного шпионажа или проведения дальнейших атак. Подобные возможности ранее обычно ассоциировались с группами APT (Advanced Persistent Threat, «продвинутая постоянная угроза»), спонсируемыми государствами.
Глобальный масштаб и методы распространения
Согласно данным Darktrace, активность Atomic Stealer была зафиксирована в сетях клиентов из 24 стран. Особенно уязвимым оказался образовательный сектор, где всплеск заражений пришелся на сентябрь-октябрь 2025 года, что совпало с началом учебного года и подключением личных устройств студентов к корпоративным сетям.
Злоумышленники используют изощренные методы доставки вредоносной нагрузки (payload). Помимо поддельных установщиков приложений и мошеннической рекламы (malvertising), активно применяется техника ClickFix. Пользователю показывается фальшивое окно установки macOS, но на самом деле выполнение команды в терминале приводит к запуску Atomic Stealer. Этот метод обмана делает угрозу особенно коварной.
Вывод: время пересмотреть безопасность macOS
Быстрый рост популярности Atomic Stealer - это явный сигнал для всех пользователей и организаций, полагающихся на экосистему Apple. Миф о большей безопасности macOS по сравнению с Windows стремительно развеивается перед лицом профессионально разработанных коммерческих угроз.
Появление вариантов с бэкдором делает эту угрозу еще более привлекательной для киберпреступников разного уровня. Защита требует не только базовой гигиены безопасности, но и продвинутых решений, способных выявлять новые тактики и IoCs в реальном времени. Как показало расследование Darktrace, технологии на основе ИИ, обеспечивающие не только обнаружение, но и автоматическое сдерживание атак, становятся необходимым элементом обороны в современном киберпространстве.
Индикаторы компрометации
IPv4
- 45.94.47.144
- 45.94.47.149
- 45.94.47.158
- 45.94.47.211
