Фахівці з кібербезпеки виявили критичну еволюцію шкідливого програмного забезпечення Atomic Stealer (AMOS), яке спеціально розроблене для атак на пристрої з операційною системою macOS. Оновлена версія малвару тепер включає вбудований бекдор-модуль, що кардинально розширює можливості зловмисників для контролю заражених систем.
Глобальне поширення кіберзагрози
Дослідники компанії MacPaw провели ретельний аналіз модернізованого вірусу після отримання інформації від незалежного експерта з безпеки. Результати дослідження демонструють, що кампанії розповсюдження AMOS охопили понад 120 країн світу. Найбільше постраждали Сполучені Штати, Франція, Італія, Велика Британія та Канада.
Інтеграція бекдор-функціоналу дозволяє кіберзлочинцям встановлювати повний контроль над тисячами Mac-пристроїв по всьому світу. Новий компонент забезпечує виконання довільних команд, зберігає працездатність після перезавантаження системи та надає необмежений за часом доступ до скомпрометованих хостів.
Трансформація від простого стілера до комплексної загрози
Вперше задокументований у квітні 2023 року, Atomic Stealer функціонує за моделлю Malware-as-a-Service (MaaS) з щомісячною підпискою вартістю 1000 доларів. Розповсюдження здійснюється через Telegram-канали, що забезпечує відносну анонімність операторів.
Первинний функціонал вірусу включав викрадення файлів macOS, даних криптовалютних розширень браузерів та збережених паролів користувачів. Проте нещодавні оновлення значно розширили арсенал можливостей шкідливого ПЗ.
Зміна стратегії розповсюдження
Спеціалісти Moonlock зафіксували зміну тактики операторів Atomic. Замість традиційного поширення через підроблені сайти з піратським програмним забезпеченням, кіберзлочинці перейшли до більш витончених методів:
Цільовий фішинг власників криптовалют з персоналізованими принадами та фальшиві запрошення на співбесіди стали основними векторами атак. Такий підхід значно підвищує ймовірність успішного зараження пристроїв.
Технічні характеристики бекдор-модуля
Архітектура нового бекдора демонструє високий рівень технічної проробки. Основний виконуваний файл представлений бінарником .helper, який після зараження зберігається в домашньому каталозі жертви як прихований файл.
Механізм персистентності реалізований через скрипт-обгортку .agent, що забезпечує циклічний запуск основного модуля від імені поточного користувача. Для автоматичного запуску при старті системи використовується LaunchDaemon з ім’ям com.finder.helper, що додається через AppleScript.
Розширені можливості бекдора
Вбудований бекдор надає зловмисникам широкий спектр функцій: віддалене виконання команд, перехоплення натискань клавіш, впровадження додаткових корисних навантажень та можливості для латерального руху по мережі.
Для обходу систем виявлення розробники впровадили перевірку наявності пісочниці або віртуальної машини через system_profiler, а також застосували обфускацію рядків. Малвар отримує підвищені привілеї шляхом викрадення пароля користувача на етапі первинного зараження.
Поява бекдор-функціоналу в Atomic Stealer представляє серйозну ескалацію загрози для користувачів macOS. Власникам пристроїв Apple критично важливо посилити заходи безпеки: уникати підозрілих посилань, регулярно оновлювати систему та використовувати надійні антивірусні рішення. Лише комплексний підхід до кібербезпеки може забезпечити ефективний захист від подібних багатофункціональних загроз.
