Вредонос AMOS стал невидимым администратором на Mac

На устройствах под управлением macOS распространяется новая, значительно усовершенствованная версия вредоносной программы AMOS (Atomic macOS Stealer). Изначально созданный для кражи паролей и криптокошельков, вирус теперь получил мощный модуль удалённого доступа, который позволяет хакерам полностью контролировать заражённое устройство и закрепляться в системе даже после перезагрузки.

Как выяснил исследователь g0njxa, AMOS теперь умеет выполнять команды атакующего, скрываться от анализа в виртуальных средах, а также запускаться при каждом включении компьютера. Вредонос включает скрытые файлы .helper и .agent, которые запускаются с правами системы через LaunchDaemon. Этот механизм позволяет злоумышленникам управлять системой как суперпользователь — устанавливать другое вредоносное ПО, следить за клавиатурной активностью и даже проникать в другие сегменты сети.

AMOS активно используется с 2023 года и распространялся сначала через взломанные приложения, а теперь — через целевые атаки. Под ударом — фрилансеры и владельцы криптовалют, которым рассылаются предложения о работе или сотрудничестве с вредоносными вложениями. Новая волна заражений уже затронула пользователей более чем в 120 странах, в том числе в США, Канаде, Италии, Великобритании и Франции.