Вредоносное ПО Atomic macOS Stealer: о чем эта кампания?

Растущая угроза в знакомой маскировке

Еще одна проблема кибербезопасности набирает обороты в мире macOS. Atomic macOS Stealer (обычно сокращенно AMOS) был замечен в новой вредоносной кампании, нацеленной на пользователей Apple с помощью хитрой социальной инженерии. Вместо использования грубой силы или сложных эксплойтов злоумышленники, стоящие за AMOS, полагаются на манипулирование поведением пользователей, в частности, на эксплуатацию доверия в повседневном онлайн-опыте.

Эта кампания использует обманный метод, известный как « ClickFix », тактику, которая представляет то, что выглядит как обычная проверка CAPTCHA на веб-сайте. Пользователи, которые подчиняются, неосознанно запускают вредоносную последовательность, которая заканчивается установкой вредоносного ПО AMOS на их устройство.

Механизм действия вредоносного ПО

В основе этой схемы лежит поддельная страница CAPTCHA, выдающая себя за доверенные веб-платформы. В случае этой конкретной кампании злоумышленники имитировали брендинг американского поставщика телекоммуникационных услуг Spectrum. Пользователям, посещавшим мошеннические сайты (такие как panel-spectrum.net или spectrum-ticket.net ), предлагалось подтвердить свою личность с помощью того, что выглядело как типичная проверка CAPTCHA.

Когда CAPTCHA не проходит — намеренно — предлагается метод «Альтернативной проверки». На этом этапе и кроется настоящая опасность. Пользователям Mac показываются инструкции по копированию и запуску команды терминала, которая кажется безвредной, но запускает скрипт оболочки, который запрашивает системный пароль, а затем загружает вредоносное ПО AMOS.

Что делает AMOS после установки

После развертывания вредоносная программа Atomic macOS Stealer начинает собирать конфиденциальную информацию пользователя. Она использует встроенные команды macOS для извлечения учетных данных, доступа к сохраненным паролям и потенциального обхода некоторых встроенных механизмов безопасности. Скрипт не только инвазивный, но и обманчиво простой, что подчеркивает, насколько эффективным может быть минимальный код в руках опытного злоумышленника.

Исследователи отметили, что эта вредоносная программа включает комментарии, написанные на русском языке, что предполагает участие русскоязычных киберпреступников. Это международное происхождение соответствует более широким тенденциям в киберпреступности, где трансграничные субъекты нацелены на широко используемые платформы с высоким доверием пользователей.

Плохой дизайн, высокий риск

Интересно, что инфраструктура, поддерживающая эту кампанию, далека от совершенства. Аналитики указали на многочисленные несоответствия в логике и представлении страниц доставки вредоносного ПО. Например, инструкции не совпадают на разных платформах — например, пользователям Linux говорят запускать команды PowerShell, предназначенные для Windows, — и неопределенные или противоречивые инструкции, показываемые как пользователям Mac, так и пользователям Windows.

Эти недостатки указывают на поспешную настройку, но они не уменьшают потенциальный ущерб. Даже неуклюжая операция может нанести значительный вред, если она убедит пользователей ослабить бдительность.

ClickFix: тактика растущего распространения

ClickFix не является эксклюзивным для этой кампании AMOS. Это более широкий метод распространения вредоносного ПО, который набирает обороты благодаря своей адаптивности и простоте. Подделывая системы CAPTCHA или баннеры согласия на использование cookie, злоумышленники заставляют пользователей самостоятельно запускать вредоносные скрипты. Это психологический трюк: пользователей заставляют поверить, что они выполняют обычные действия, когда на самом деле они подвергают риску свои устройства.

Такие компании по безопасности, как Darktrace и Cofense, сообщили о резком росте таких атак в Европе, на Ближнем Востоке, в Африке и Северной Америке. Другие кампании с использованием ClickFix доставили широкий спектр вредоносного ПО, от краж, таких как PureLogs и Lumma, до троянов удаленного доступа, таких как NetSupport RAT .

Почему пользователи на это попадаются

Часть успеха этой тактики заключается в том, что эксперты по кибербезопасности называют «усталостью от проверки». Современные пользователи настолько привыкли к всплывающим окнам, CAPTCHA и рутинным подсказкам, что часто просматривают их без проверки. Злоумышленники используют это обусловленное поведение, встраивая ловушки в то, что кажется стандартными процессами.

Пиксельно-точные копии страниц CAPTCHA из таких сервисов, как Google reCAPTCHA или Cloudflare Turnstile, только повышают их правдоподобность. В некоторых случаях злоумышленники даже внедряли эти поддельные проверки в легитимные, но скомпрометированные веб-сайты, добавляя еще один уровень обмана.

Что это значит для безопасности macOS

В течение многих лет пользователи macOS чувствовали себя относительно защищенными от вредоносного ПО по сравнению с пользователями Windows. Такие кампании, как развертывание AMOS, служат напоминанием о том, что ни одна система не застрахована, особенно когда самым слабым звеном является человеческое поведение. Использование социальной инженерии означает, что злоумышленникам не нужно находить уязвимости в ОС — им просто нужно, чтобы пользователи следовали указаниям.

Последствия широки. Это подчеркивает необходимость осведомленности пользователей, защиты, специфичной для платформы, и продолжающуюся проблему различения законных действий системы от обманных уловок.

Заключительные мысли

Хотя macOS предлагает надежную встроенную защиту, она эффективна только в том случае, если пользователи осторожны в отношении того, что они запускают в своих системах. Пользователям следует избегать запуска незнакомых команд в Терминале, дважды проверять подлинность URL-адресов и скептически относиться к любому веб-сайту, который предлагает им подтвердить свою личность необычными способами.

Поскольку вредоносные кампании, такие как AMOS, продолжают развиваться, быть в курсе событий — одна из лучших защит. Осведомленность — это не просто сила, это защита.