Дослідники виявили нову версію стилера Atomic для macOS (він же AMOS). Тепер малварь постачається з бекдором, який дає змогу отримувати доступ до зламаних систем.

Експерти компанії MacPaw вивчили бекдор Atomic після отримання інформації від незалежного ІБ-дослідника g0njxa. Вони пишуть, що новий компонент дає змогу виконувати довільні команди, «виживає» після перезавантаження і дає змогу на необмежений час зберегти контроль над зараженими хостами.

“Кампанії з поширення AMOS уже охоплюють понад 120 країн. Серед найбільш постраждалих: США, Франція, Італія, Велика Британія та Канада, – кажуть дослідники. – Версія Atomic із бекдором дає змогу отримати повний доступ до тисяч пристроїв Mac по всьому світу”.

Аналітики Moonlock повідомляють, що останнім часом оператори Atomic змінили тактику. Тепер шкідник поширюється не через фальшиві сайти з піратським ПЗ, а за допомогою цільового фішингу, спрямованого на власників криптовалют, а також через фейкові запрошення на співбесіди.

Нова версія малварі оснащена вбудованим бекдором, використовує LaunchDaemons для «виживання» після перезавантаження macOS, відстежує жертв за унікальними ID, а також управляється з нової інфраструктури.

За словами дослідників, основний виконуваний файл бекдора – бінарник .helper, який завантажується і зберігається після зараження в домашньому каталозі жертви у вигляді прихованого файлу.

Прихований скрипт-враппер .agent по колу запускає .helper від імені поточного користувача. А щоб .agent запускався під час старту системи, через AppleScript додається LaunchDaemon з ім’ям com.finder.helper. Усе це виконується з підвищеними привілеями: малварь викрадає пароль користувача ще на етапі зараження. Після цього вона може виконувати команди і змінювати власника PLIST-файлу LaunchDaemon на root:wheel.

Вбудований бекдор дає змогу зловмисникам віддалено виконувати команди, перехоплювати натискання клавіш, впроваджувати додаткові корисні навантаження або досліджувати можливості для бокового переміщення.

Щоб уникнути виявлення, бекдор перевіряє наявність пісочниці або віртуальної машини за допомогою system_profiler, а також використовує обфускацію рядків.