Το διαβόητο κακόβουλο λογισμικό Atomic macOS Stealer (AMOS) έχει λάβει μια επικίνδυνη αναβάθμιση που κλιμακώνει σημαντικά την απειλή για τους χρήστες Mac παγκοσμίως. Για πρώτη φορά, αυτό το λογισμικό υποκλοπής που συνδέεται με τη Ρωσία, αναπτύσσεται με μια ενσωματωμένη κερκόπορτα (backdoor) , μετατρέποντας αυτό που κάποτε ήταν ένα εργαλείο κλοπής δεδομένων τύπου «χτύπα και φύγε» σε μια πλατφόρμα για συνεχή επιτήρηση και παραβίαση του συστήματος.
Αυτή η εξέλιξη αντιπροσωπεύει μια κρίσιμη κλιμάκωση στις δυνατότητες του κακόβουλου λογισμικού, επιτρέποντας στους επιτιθέμενους να διατηρούν μόνιμη πρόσβαση στα παραβιασμένα συστήματα macOS, να εκτελούν απομακρυσμένες εντολές και να αποκτούν μακροπρόθεσμο έλεγχο των μολυσμένων μηχανημάτων. Σύμφωνα με ερευνητές κυβερνοασφάλειας της Moonlock, του τμήματος ασφαλείας της MacPaw, αυτό σηματοδοτεί μόλις τη δεύτερη γνωστή περίπτωση ανάπτυξης backdoor που στοχεύει χρήστες macOS σε παγκόσμια κλίμακα , ακολουθώντας παρόμοιες τακτικές που χρησιμοποιούνται από παράγοντες απειλών της Βόρειας Κορέας. Οι καμπάνιες του κακόβουλου λογισμικού έχουν ήδη διεισδύσει σε περισσότερες από 120 χώρες, με τις Ηνωμένες Πολιτείες, τη Γαλλία, την Ιταλία, το Ηνωμένο Βασίλειο και τον Καναδά να είναι μεταξύ των περιοχών που έχουν πληγεί περισσότερο.
Τι είναι το Atomic Stealer;
Το Atomic Stealer, γνωστό και ως AMOS, εμφανίστηκε για πρώτη φορά τον Απρίλιο του 2023 και γρήγορα καθιερώθηκε ως ένα από τα πιο επικίνδυνα κακόβουλα λογισμικά κλοπής πληροφοριών που στοχεύουν χρήστες macOS. Το AMOS στοχεύει επίσης δεδομένα από επεκτάσεις προγραμμάτων περιήγησης, με υποστήριξη για πάνω από 100 επεκτάσεις.
Διπλοί Δίαυλοι Επίθεσης
Το αναβαθμισμένο AMOS χρησιμοποιεί δύο κύριες μεθόδους διανομής. Η πρώτη περιλαμβάνει ιστότοπους που προσφέρουν πειρατικές ή πλαστές εκδόσεις λογισμικού. Η δεύτερη είναι μέσω εξελιγμένων εκστρατειών spear-phishing που στοχεύουν άτομα υψηλής αξίας, ιδιαίτερα κατόχους κρυπτονομισμάτων, καλλιτέχνες και ελεύθερους επαγγελματίες. Η επικοινωνία μεταξύ του κακόβουλου λογισμικού και του διακομιστή ελέγχου και διοίκησης (C2) έχει αλλάξει από μια εφάπαξ εξαγωγή δεδομένων στην ανάθεση μοναδικών αναγνωριστικών σε κάθε μολυσμένο κεντρικό υπολογιστή. Το κακόβουλο λογισμικό επιτυγχάνει την παραμονή του στο σύστημα δημιουργώντας ένα αρχείο PLIST μέσω του launchctl, μια τυπική τεχνική για κακόβουλο λογισμικό macOS ώστε να επιβιώνει από επανεκκινήσεις. Αναπτύσσει κρυφά αρχεία με ονόματα «.helper» και «.agent» για να διατηρεί τις κρυφές του λειτουργίες και να αποφεύγει τον εντοπισμό. Η κερκόπορτα επικοινωνεί με τους διακομιστές C2 στέλνοντας αιτήματα HTTP POST κάθε 60 δευτερόλεπτα για να λαμβάνει νέες εντολές.
Πώς να Προστατευτείτε
Οι ειδικοί σε θέματα ασφάλειας συνιστούν στους χρήστες Mac να λαμβάνουν πολλαπλά μέτρα προστασίας. Η εφαρμογή ισχυρών μέτρων ασφαλείας, όπως λογισμικό προστασίας από ιούς και κακόβουλο λογισμικό, καθώς και λύσεις ανίχνευσης και απόκρισης τελικού σημείου (EDR), είναι ζωτικής σημασίας. Εάν υποψιάζεστε μόλυνση, αποσυνδεθείτε αμέσως από το διαδίκτυο, εκτελέστε μια πλήρη σάρωση του συστήματος με ένα αξιόπιστο πρόγραμμα προστασίας από ιούς και αλλάξτε όλους τους σημαντικούς κωδικούς πρόσβασης. Η εξέλιξη του AMOS υπογραμμίζει ότι το macOS δεν είναι άτρωτο και απαιτεί την ίδια επαγρύπνηση ασφαλείας με άλλα λειτουργικά συστήματα.