Специалисты по кибербезопасности зафиксировали эволюцию опасного вредоносного ПО Atomic Stealer (AMOS), предназначенного для операционной системы macOS. Новая версия малвари получила встроенный бэкдор-модуль, который кардинально расширяет возможности злоумышленников по контролю зараженных устройств.
Масштабы распространения угрозы
Аналитики компании MacPaw провели детальное исследование обновленного вредоноса после получения данных от независимого исследователя безопасности. Результаты анализа показывают, что кампании по распространению AMOS охватили более 120 стран мира. Наиболее пострадавшими регионами стали США, Франция, Италия, Великобритания и Канада.
Эксперты отмечают, что интеграция бэкдора позволяет киберпреступникам получить полный контроль над тысячами Mac-устройств по всему миру. Новый компонент обеспечивает выполнение произвольных команд, сохраняет работоспособность после перезагрузки системы и предоставляет неограниченный по времени доступ к скомпрометированным хостам.
Эволюция Atomic Stealer: от простого стилера к многофункциональной угрозе
Впервые документированный в апреле 2023 года, Atomic Stealer функционирует по модели Malware-as-a-Service (MaaS) с месячной подпиской стоимостью 1000 долларов. Распространение осуществляется через Telegram-каналы, что обеспечивает относительную анонимность операторов.
Изначально основной функционал вредоноса включал кражу файлов macOS, данных криптовалютных расширений браузеров и сохраненных паролей пользователей. Однако недавние обновления значительно расширили арсенал возможностей малвари.
Изменение тактики распространения
Специалисты Moonlock зафиксировали смену стратегии операторов Atomic. Вместо традиционного распространения через поддельные сайты с пиратским программным обеспечением, киберпреступники перешли к более изощренным методам:
Целевой фишинг владельцев криптовалют с персонализированными приманками и фальшивые приглашения на собеседования стали основными векторами атак. Такой подход значительно повышает вероятность успешного заражения устройств.
Технические особенности бэкдор-модуля
Архитектура нового бэкдора демонстрирует высокий уровень технической проработки. Основной исполняемый файл представлен бинарником .helper, который после заражения сохраняется в домашнем каталоге жертвы как скрытый файл.
Механизм персистентности реализован через скрипт-обертку .agent, обеспечивающий циклический запуск основного модуля от имени текущего пользователя. Для автоматического запуска при старте системы используется LaunchDaemon с именем com.finder.helper, добавляемый через AppleScript.
Расширенные возможности бэкдора
Встроенный бэкдор предоставляет злоумышленникам широкий спектр функций: удаленное выполнение команд, перехват нажатий клавиш, внедрение дополнительных полезных нагрузок и возможности для латерального движения по сети.
Для обхода систем обнаружения разработчики внедрили проверку наличия песочницы или виртуальной машины через system_profiler, а также применили обфускацию строк. Малварь получает повышенные привилегии путем кражи пароля пользователя на этапе первичного заражения.
Появление бэкдор-функционала в Atomic Stealer представляет серьезную эскалацию угрозы для пользователей macOS. Владельцам устройств Apple критически важно усилить меры безопасности: избегать подозрительных ссылок, регулярно обновлять систему и использовать надежные антивирусные решения. Только комплексный подход к кибербезопасности может обеспечить эффективную защиту от подобных многофункциональных угроз.
