Хакери атакують нову функцію Passwords у macOS — дослідники з CloudSEK виявили кампанію AMOS, яка краде паролі через фішингові сайти, обманні CAPTCHA і шкідливі скрипти. Підозрюють російських зловмисників. Про це пише американський Forbes.
Що сталося
Дослідник загроз CloudSEK Кушик Пал підтвердив нову фішингову кампанію, спрямовану на користувачів macOS. Йдеться про варіант шкідливого ПЗ Atomic macOS Stealer (AMOS), який використовує фальшиві сайти й інтерфейси для крадіжки паролів через нову функцію Apple — Passwords, інтегровану в macOS.
Хакери застосовують тактики соціальної інженерії, зокрема підроблені екрани CAPTCHA (Clickfix) і фішингові домени, які візуально імітують популярні сервіси в США: інтернет-провайдери, мобільні оператори й технічну підтримку. Потрапивши на сайт, користувач отримує шкідливий shell-скрипт, який активує AMOS.
Цей скрипт виконує команди в системі macOS для збору облікових даних, обходу систем захисту та запуску шкідливих файлів. Відомо, що AMOS використовує легітимні утиліти macOS, що ускладнює виявлення загрози антивірусами.
Що це означає
AMOS — одна з найнебезпечніших загроз для власників Mac. На відміну від типових атак на Windows чи сервіси Google, ця кампанія показує, що користувачі Apple також під загрозою. Новизна функції Passwords робить її особливо вразливою — багато хто ще не знає, як розпізнати спробу викрадення даних.
За словами CloudSEK, у коді атаки знайдено коментарі російською мовою, що вказує на можливу причетність російськомовних кіберзлочинців. Викрадені паролі можуть продаватися брокерам доступу або використовуватись у наступних атаках, зокрема із застосуванням програм-вимагачів.
Що далі
CloudSEK радить користувачам macOS бути обережними з підозрілими запитами на перевірку системи й уникати введення паролів на сторонніх сайтах. Особливо це стосується нової системної функції Passwords — варто верифікувати джерело будь-яких запитів. Також рекомендується використовувати багатофакторну автентифікацію та оновлювати систему безпеки на пристроях.