Атаки на пользователей macOS становятся все популярнее. Исследователи заметили, что инфостилеры, способные украсть пароли, финансовые данные и другие личные сведения, стали активнее действовать.
Самые распространённые вредоносные программы в 2024 году – Atomic Stealer (AMOS), Poseidon Stealer и Cthulhu Stealer. Они собирают информацию из браузеров, криптовалютных кошельков и менеджеров паролей, угрожая как бизнесу, так и обычным пользователям.
Компания Palo Alto Networks отметила увеличение атак на 101% за последние два квартала. Инфостилеры стали самой большой группой нового вредоносного ПО для macOS в 2024 году. Один из важных факторов – использование AppleScript, встроенного механизма macOS, который позволяет киберпреступникам создавать вредоносные сценарии, маскируя их под системные запросы.
Atomic Stealer (AMOS) появился в 2023 году и распространяется как вредоносное ПО как услуга. Авторы продают программу на форумах и в Telegram, а атаки чаще всего происходят через малвертайзинг – рекламу вредоносных программ, прикидывающихся под легальные приложения. AMOS украдет данные из браузеров, криптовалютных кошельков и мессенджеров.
Poseidon Stealer, рекламировавшийся под никнеймом Rodrigo4, также распространяется через троянизированные установщики популярных программ. После запуска приложение просит ввести системный пароль и собирает данные с устройства, включая пароли из менеджеров BitWarden и KeePassXC. Затем Poseidon Stealer отправляет информацию на серверы злоумышленников.
Cthulhu Stealer работает похожим образом, но его создатели активно продвигают малварь через Telegram. Он маскируется под программы для очистки macOS, но при установке запрашивает пароли от системы и кошельков MetaMask. Вредонос крадет данные из браузеров, криптокошельков, файловых хранилищ и даже из игры Minecraft, отправляя информацию на сервер атакующих.
Хотя macOS обычно считается более безопасной системой, чем Windows, злоумышленники активно используют AppleScript, который позволяет выполнять команды в системе без дополнительных привилегий. Этот инструмент облегчает запуск вредоносного кода, создавая поддельные системные диалоги, через которые атакующие запрашивают пароль у жертвы или заставляют её отключить защитные механизмы.
Анализ кода показывает, что все три инфостилера могут не только украсть данные, но и открыть путь для других атак, включая программы-вымогатели. Чтобы снизить риски, пользователям macOS стоит избегать загрузки ПО из ненадежных источников, ограничить выполнение AppleScript и использовать современные системы обнаружения угроз.
