В современном цифровом мире безопасность операционных систем становится все более уязвимой, особенно когда речь идет о таких популярных платформах, как macOS. Недавно в сфере информационной безопасности произошел значительный прорыв – инфостилер Atomic, известный среди специалистов как одну из самых опасных угроз для пользователей Mac, был обнаружен в новой модификации с встроенным бэкдором. Это изменение существенно увеличивает масштаб и тяжесть угрозы, позволяя злоумышленникам получить полный контроль над зараженными системами и сохранить его на неограниченное время. Инфостилер Atomic, также известный под аббревиатурой AMOS, впервые был задокументирован в апреле 2023 года как MaaS-угроза, то есть Malware-as-a-Service, распространяемая через Telegram-каналы. Стоимость подписки на этот сервис достигает 1000 долларов в месяц, что говорит о серьезности намерений его создателей и высокий спрос на подобные вредоносные инструменты в киберпреступном мире.
Основная цель Atomic заключается в краже файлов, паролей из браузеров и данных из криптовалютных расширений, что особенно опасно в эпоху роста цифровых валют и онлайн-бизнеса. С течением времени тактика операторов малвари претерпела существенные изменения. Если ранее распространение происходило через фальшивые сайты с пиратским программным обеспечением, то в последние месяцы акцент сместился в сторону целевого фишинга, направленного преимущественно на владельцев криптовалютных кошельков и участников криптовалютного рынка. Кроме того, злоумышленники активно используют поддельные приглашения на собеседования, что отражает растущую изобретательность в способах проникновения в целевые системы. Интересно, что новая версия Atomic оборудована встроенным бэкдором, который работает через систему LaunchDaemons в macOS, обеспечивая выживание вредоноса даже после перезагрузки устройства.
Этот механизм поддерживается запуском скрытого бинарного файла .helper в домашней директории пользователя и управляющего его запуском скрипта .agent, создающего дополнительные скрытые процессы для стабильной работы бэкдора. Запуск .agent при старте системы реализован через AppleScript, который добавляет соответствующий LaunchDaemon с именем com.
finder.helper. Такой подход не только повышает устойчивость вредоносного кода, но и обеспечивает ему возможность работать с повышенными привилегиями. Малварь похищает пользовательский пароль еще на этапе заражения, что позволяет ей модифицировать права доступа к системным файлам, например, менять владельца PLIST-файла LaunchDaemon на root:wheel, что практически исключает возможность удаления вредоносного компонента без привлечения будет сопровождаться администраторскими правами. Встроенный бэкдор Atomic значительно расширяет функционал вредоносного инструмента.
Он предоставляет злоумышленникам возможность удаленного выполнения произвольных команд, что упрощает внедрение дополнительного вредоносного ПО, проведение шпионских операций, перехват нажатий клавиш и сбор конфиденциальной информации. Кроме того, бэкдор позволяет исследовать возможности для бокового перемещения по сети, что повышает шансы злоумышленников получить доступ к другим устройствам и корпоративным ресурсам, увеличивая масштабы потенциального ущерба. Для минимизации рисков обнаружения бэкдор встроил в себя несколько механизмов защиты. Он проводит проверки окружения, определяя наличие песочницы или запуска в виртуальной машине с помощью команды system_profiler, что затрудняет анализ и разбор вредоносного кода специалистами по безопасности. Также используется обфускация строк, усложняющая процесс реверс-инжиниринга и повышающая стойкость к антивирусным проверкам.
По данным безопасности компании MacPaw и ИБ-исследователя g0njxa, кампании по распространению новой версии Atomic охватывают более 120 стран, при этом наиболее существенные всплески заражений наблюдаются в США, Франции, Италии, Великобритании и Канаде. Эти данные подчеркивают глобальный масштаб угрозы и необходимость международного сотрудничества для борьбы с вспышками вредоносной активности. Исторически Atomic использовался в ряде крупных кампаний. В ноябре 2023 года он был замечен в рамках вредоносной кампании ClearFake, направленной на кражу конфиденциальных данных, а в сентябре 2024 года стал основным инструментом хакерской группы Marko Polo, нацеленной на экосистему Apple. Обновленная версия с бэкдором существенно повысила эффективность этих операций и затруднила их расследование.
Для пользователей macOS и организаций, которым необходима защита, крайне важно понимать способы проникновения и поддержания развертывания данной угрозы. Рекомендации включают строгое соблюдение принципов информационной гигиены, осторожность при работе с письмами и приглашениями, а также использование комплексных антивирусных решений, способных обнаруживать и блокировать новые модификации Atomic. Регулярные обновления системы и программного обеспечения также играют ключевую роль в предотвращении успешных атак. В корпоративном секторе необходимым считается внедрение многоуровневых систем обнаружения вторжений, мониторинга активности и анализа поведения приложений. Специалисты по информационной безопасности должны уделять внимание аномалиям в работе LaunchDaemons и подозрительным процессам, связанным с пользователями.
Также следует развивать программы обучения сотрудников, чтобы минимизировать риски целевого фишинга, так как именно на человеческий фактор часто ориентированы современные кибератаки. Развитие ситуации с инфостилером Atomic демонстрирует, как быстро меняются методы киберугроз и насколько важна постоянная адаптация защитных мер. Внедрение бэкдора в малварь, ориентированную на macOS, сигнализирует о том, что и эта платформа становится привлекательной целью для хакеров. Поэтому пользователям и компаниям необходимо более внимательно относиться к безопасности своих устройств и постоянно обновлять свои знания в области кибербезопасности. Подводя итог, можно сказать, что инфостилер Atomic с новым функционалом бэкдора представляет собой серьёзную угрозу для экосистемы Apple.
Его способность сохранять контроль над зараженными системами без ограничений по времени и выполнять произвольные команды усложняет задачу выявления и нейтрализации угрозы. Это подчеркивает необходимость системного, комплексного подхода к защите, который включает технические, организационные и образовательные меры. Только взаимодействие пользователей, компаний и специалистов по безопасности позволит эффективно противостоять таким сложным и адаптивным угрозам. В случае появления подозрительной активности необходимо незамедлительно обращаться к профессионалам и использовать современные средства защиты для минимизации возможного вреда.
