Вопреки репутации macOS как безопасной платформы, новая модификация вредоносного ПО Atomic Stealer серьёзно угрожает владельцам Mac. Обновлённая версия зловреда получила полноценный скрытый бэкдор, обеспечивающий злоумышленникам постоянный и незаметный доступ к системе, с возможностью управления устройством даже после его перезагрузки.
Программа теперь выполняет удалённые команды и сохраняет полный контроль над заражённым компьютером.
Специалисты команды Moonlock, входящей в MacPaw, разобрали новую сборку после сигнала от независимого аналитика под псевдонимом g0njxa. Как отмечают эксперты, ранее зафиксированы массовые заражения в более чем 120 странах, в том числе в США, Франции, Италии, Великобритании и Канаде. С обновлением, в котором добавился скрытый модуль удалённого доступа, число потенциальных жертв может возрасти.
Atomic Stealer впервые был зафиксирован весной 2023 года. Вредонос продавался по модели MaaS (malware-as-a-service) в Telegram за $1000 в месяц и был нацелен на кражу паролей, криптовалютных расширений и файлов macOS. Осенью 2023 года зловред стал частью первой целевой атаки на macOS в рамках кампании ClearFake, а в сентябре 2024 года его активно использовала группировка Marko Polo в крупной атаке на пользователей техники Apple.
Если раньше вредонос распространялся через взломанные программы и сомнительные сайты, то сейчас хакеры перешли к точечным методам. Целью стали владельцы криптокошельков и фрилансеры. Этим пользователям рассылаются фишинговые письма с предложениями фальшивых собеседований и ссылками на вредоносные файлы.
Исследованная версия Atomic Stealer использует механизм LaunchDaemons для закрепления в системе, внедряет скрытые исполняемые файлы и отслеживает заражённые устройства по уникальному идентификатору.
Центральный элемент — файл «.helper», сохраняющийся в пользовательской директории. Его активирует скрипт «.agent», обеспечивающий непрерывную активность вредоноса от имени текущего пользователя. Для автозапуска используется LaunchDaemon с именем com.finder.helper, устанавливаемый с помощью AppleScript. Злоумышленники получают права доступа, похитив пароль пользователя в момент заражения.
После внедрения вредонос способен устанавливать другое ПО, перехватывать ввод с клавиатуры, выполнять произвольные команды и распространяться по локальной сети. Для сокрытия активности применяются антианализаторные техники, например, проверка на наличие виртуальных машин и песочниц через system_profiler. Также используются методы обфускации строк, затрудняющие статический анализ.
Ещё по теме:
- Сайты в России лишатся права на автоматическое продление подписок без согласия пользователя
- Китайская BOE стала крупнейшим поставщиком экранов для MacBook
- У iPhone 17 Air будет уникальный голубой цвет
