Zloglasni zlonamjerni softver Atomic macOS Stealer (AMOS) pretrpio je opasnu nadogradnju koja značajno povećava prijetnju korisnicima Mac računara širom svijeta. Ovo je prvi put da se ovaj ruski kradljivac podataka distribuira s ugrađenim “bekdorom” (backdoor), omogućavajući napadačima da zadrže postojan pristup kompromitovanim sistemima, izvršavaju udaljene komande i uspostave dugoročnu kontrolu nad zaraženim mašinama. Ovo predstavlja najznačajniju evoluciju AMOS-a od njegovog pojavljivanja, pretvarajući ga iz alata za brzu krađu podataka u platformu za kontinuirano nadgledanje i kompromitovanje sistema.
Prema istraživačima iz Moonlocka, sigurnosnog odjela kompanije MacPaw, ovo je tek drugi poznati slučaj korištenja “bekdora” u napadima na macOS korisnike globalno, nakon sličnih taktika koje su koristili sjevernokorejski akteri prijetnji. Kampanje sa ovim zlonamjernim softverom već su zahvatile preko 120 zemalja, a Sjedinjene Američke Države, Francuska, Italija, Ujedinjeno Kraljevstvo i Kanada su među najteže pogođenim regijama. Nadograđena verzija AMOS-a sa “bekdorom” sada prijeti da pruži napadačima puni pristup hiljadama Mac uređaja širom svijeta.
Nadograđeni AMOS koristi dva primarna načina distribucije: web stranice koje nude “krakovan” ili falsifikovani softver, te sofisticirane “spear-phishing” kampanje usmjerene na visoko-vrijedne pojedince, posebno vlasnike kriptovaluta. “Spear-phishing” napadi se često prikrivaju kao lažni intervjui za posao, obično ciljajući umjetnike i frilensere koji se traže da dostave sistemske lozinke pod izgovorom omogućavanja dijeljenja ekrana tokom intervjua.
Nakon izvršavanja, zlonamjerni softver uspostavlja postojanost putem složenog lanca komponenti, uključujući trojanizovani DMG fajl, “bash” skripte i “Terminal” alias-e dizajnirane da zaobiđu zaštitu macOS Gatekeepera. “Bekdor” održava komunikaciju sa komandno-kontrolnim serverima (command-and-control servers) lociranim na IP adresama 45.94.47.145 i 45.94.47.147, šaljući HTTP POST zahtjeve svakih 60 sekundi radi primanja novih zadataka i komandi. Grupa AMOS-a čini se da slijedi ustaljene obrasce koje su postavili sjevernokorejski cyberkriminalci, koji su uspješno kombinovali “bekdore” sa kradljivcima podataka u napadima na macOS. Međutim, dok sjevernokorejske grupe obično fokusiraju na brzu krađu kriptovaluta, AMOS “bekdor” je dizajniran za dugoročnu postojanost i produženo kompromitovanje sistema.
Zlonamjerni softver kreira “LaunchDaemon” sa oznakom “com.finder.helper” kako bi osigurao da “bekdor” preživi ponovno pokretanje sistema. Koristi višeslojni pristup koristeći skrivene fajlove nazvane “.helper” i “.agent” radi održavanja prikrivenih operacija i izbjegavanja detekcije. Sigurnosni istraživači primijetili su brz porast broja jedinstvenih uzoraka binarnih fajlova AMOS-a od početka 2024. godine, što ukazuje na aktivni razvoj i distribuciju. Rast industrije “malware-as-a-service” (MaaS) sugeriše da će vjerovatno nastati više varijanti nadograđenog Atomic macOS Stealera, sa poboljšanim mogućnostima za izbjegavanje detekcije i prodiranje u sisteme.
Evolucija AMOS-a od jednostavnog kradljivca podataka do postojanog “bekdora” značajno povećava rizik za žrtve, pretvarajući jednokratne prodore u dugoročne kompromitacije. Stručnjaci za sigurnost preporučuju korisnicima Mac računara da koriste dodatni anti-malware softver, ostanu na oprezu protiv taktika socijalnog inženjeringa i smanje svoj digitalni otisak kako bi umanjili izloženost ciljanim napadima. Zajednica za cyber sigurnost nastavlja da nadgleda operacije AMOS-a, a istraživači dijele informacije o prijetnjama kako bi pomogli sigurnosnim timovima da ažuriraju svoje odbrambene mjere protiv ove rastuće opasnosti za korisnike macOS-a širom svijeta.