Атаки на пользователей macOS набирают обороты – исследователи фиксируют рост активности инфостилеров, способных похищать пароли, финансовые данные и другие конфиденциальные сведения.
Среди наиболее распространённых угроз в 2024 году выделены три вредоносные программы: Atomic Stealer (AMOS), Poseidon Stealer и Cthulhu Stealer. Вредоносы ориентированы на сбор данных из браузеров, криптовалютных кошельков и менеджеров паролей, представляя угрозу для бизнеса и частных пользователей.
Palo Alto Networks отмечаетрост числа атак на 101% за последние 2 квартала. Инфостилеры стали крупнейшей группой нового вредоносного ПО для macOS в 2024 году. Одной из причин такого роста стала активная эксплуатация AppleScript, встроенного механизма macOS, который позволяет киберпреступникам создавать вредоносные сценарии, маскирующиеся под системные запросы.
Atomic Stealer (AMOS) впервые появился в 2023 году и распространяется по модели “вредоносное ПО как услуга” (Malware-as-a-Service, MaaS). Авторы продают программу на форумах и в Telegram, а сами атаки чаще всего идут через ” data-html=”true” data-original-title=”Малвертайзинг” >малвертайзинг – рекламу вредоносных программ, маскирующихся под легитимные приложения. AMOS крадёт записи из браузеров, криптовалютные кошельки и данные мессенджеров.
Poseidon Stealer рекламировал некто под псевдонимом Rodrigo4, ранее связанный с AMOS. Вредоносное ПО распространяется через троянизированные установщики популярных программ. После запуска приложение просит ввести системный пароль, а затем собирает данные с устройства, включая пароли из менеджеров BitWarden и KeePassXC. Позже Poseidon Stealer отправляет украденную информацию на серверы злоумышленников.
Cthulhu Stealer работает по схожему принципу, но его создатели активно продвигают малварь через Telegram. Стилер маскируется под утилиты для очистки macOS, но при установке запрашивает пароли от системы и кошельков MetaMask. Вредонос крадёт данные из браузеров, криптокошельков, файловых хранилищ и даже из игры Minecraft, загружая собранную информацию на сервер атакующих.
Хотя macOS традиционно считается более защищённой системой по сравнению с Windows, злоумышленники активно используют AppleScript – встроенный язык сценариев, который позволяет выполнять команды в системе без дополнительных привилегий. Этот инструмент упрощает запуск вредоносного кода, создавая поддельные системные диалоги, через которые атакующие запрашивают у жертвы пароль или вынуждают её отключить защитные механизмы.
Анализ кода показывает, что все три инфостилера способны не только похищать данные, но и прокладывать путь для других атак, включая развёртывание программ-вымогателей. Чтобы снизить риски, пользователям macOS стоит избегать загрузки ПО из непроверенных источников, ограничить выполнение AppleScript и использовать современные системы обнаружения угроз.