Новости Сложно победить, легко заразиться: почему новый штамм AMOS Stealer - не просто очередной вирус

NewsMaker

I'm just a script
Премиум
13,844
20
8 Ноя 2022
Вредонос умело обчищает системы, смеясь в лицо антивирусам.


dxmtytt5x2ux7e5l8uj541u06akiwfj0.jpg


Специалисты компании Для просмотра ссылки Войди или Зарегистрируйся обнаружили новый вариант вредоносной программы AMOS Stealer (или Atomic Stealer), одной из наиболее распространенных киберугроз для пользователей macOS за последний год. По словам экспертов Bitdefender , новый вариант был выявлен в процессе изучения старых и новых образцов вредоносного ПО для macOS с целью совершенствования возможностей обнаружения подобных угроз.

Подозрения вызвали несколько небольших по размеру (1,3 Мб) образов диска для macOS. Детальный анализ показал сходство нового варианта с RustDoor. Оба варианта предназначены для сбора конфиденциальных файлов с зараженных компьютеров, причем текущий является более продвинутой версией скрипта RustDoor.

У новой версии есть дополнительные функции. Она собирает файлы Cookies.binarycookies с куки браузера Safari, файлы с определенных расширений из конкретных местоположений и использует утилиту system_profiler для получения данных о системе.

Таким образом злоумышленники получают информацию о технических характеристиках компьютера, версиях ОС, подключенных мониторах и видеокартах. В архив добавляются пароли, ключи шифрования, сертификаты, что свидетельствует о растущем интересе к криптоплатформам.

В этой версии нестандартным способом объединяются Python и Apple Scripting - файл grabber() выполняет большой блок Apple Script с помощью команды osascript -e. В DMG-файлах содержатся исполняемые модули для Intel и ARM, которые используются для кражи данных.

При открытии приложение Crack Installer предлагает пользователю распаковать файл. Скрипт Python собирает конфиденциальные данные из разных источников, включая криптокошельки, браузеры, учетные записи.

Собранные данные сохраняются в ZIP-архив и отправляются на C2-сервер посредством POST-запроса. Структура архива подтверждается сервером.

На данный момент новый вариант практически не обнаруживается антивирусами. Bitdefender опубликовала индикаторы компрометации для выявления и нейтрализации этой киберугрозы.
 
Источник новости
www.securitylab.ru

Похожие темы