<div id="post_message_802144">

Исследователи<a href="http://moonlock.com/amos-backdoor-persistent-access" target="_blank"> обнаружили новую версию </a>стилера Atomic для macOS (он же AMOS). Теперь малварь поставляется с бэкдором, который позволяет получать доступ к взломанным системам.<br/>
<br/>
Эксперты компании MacPaw изучили бэкдор Atomic после получения информации от независимого ИБ-исследователя g0njxa. Они пишут, что новый компонент позволяет выполнять произвольные команды, «выживает» после перезагрузки и позволяет на неограниченное время сохранить контроль над зараженными хостами.<br/>
<br/>
«Кампании по распространению AMOS уже охватывают более 120 стран. Среди наиболее пострадавших: США, Франция, Италия, Великобритания и Канада, — говорят исследователи. — Версия Atomic с бэкдором позволяет получить полный доступ к тысячам устройств Mac по всему миру».<br/>
<br/>
Впервые Atomic был задокументирован <a href="https://xakep.ru/2023/04/28/atomic-macos-stealer/" target="_blank">в апреле 2023</a> года. Он представляет собой MaaS-угрозу (Malware-as-a-Service, «Малварь-как-услуга»), которую распространяют в Telegram-каналах. Подписка стоит 1000 долларов в месяц. Целью этого вредоноса является хищение файлов macOS, данных криптовалютных расширений и паролей пользователей, хранящихся в браузерах.<br/>
<br/>
В ноябре 2023 года стилер использовался в рамках вредоносной <a href="https://www.bleepingcomputer.com/news/security/hackers-use-binance-smart-chain-contracts-to-store-malicious-scripts/" target="_blank">кампании ClearFake</a>, а в сентябре 2024 года стал применяться хак-группой Marko Polo в <a href="https://xakep.ru/2024/10/22/clickfix/" target="_blank">масштабной кампании</a>, направленной против компьютеров Apple.<br/>
<br/>
Аналитики Moonlock сообщают, что в последнее время операторы Atomic сменили тактику. Теперь вредонос распространяется не через фальшивые сайты с пиратским ПО, а при помощи целевого фишинга, направленного на владельцев криптовалют, а также через фейковые приглашения на собеседования.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/07/535546/evolution.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Эволюция Atomic

</td>
</tr>
</table>
</div>Новая версия малвари оснащена встроенным бэкдором, использует LaunchDaemons для «выживания» после перезагрузки macOS, отслеживает жертв по уникальным ID, а также управляется из новой инфраструктуры.<br/>
<br/>
По словам исследователей, основной исполняемый файл бэкдора — бинарник .helper, который загружается и сохраняется после заражения в домашнем каталоге жертвы в виде скрытого файла.<br/>
<br/>
Скрытый скрипт-враппер .agent по кругу запускает .helper от имени текущего пользователя. А чтобы .agent запускался при старте системы, через AppleScript добавляется LaunchDaemon с именем com.finder.helper. Все это выполняется с повышенными привилегиями: малварь похищает пароль пользователя еще на этапе заражения. После этого она может выполнять команды и менять владельца PLIST-файла LaunchDaemon на root:wheel.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/07/535546/backdoorexec.jpg"/><br/>
<br/>
Встроенный бэкдор позволяет злоумышленникам удаленно выполнять команды, перехватывать нажатия клавиш, внедрять дополнительные полезные нагрузки или исследовать возможности для бокового перемещения.<br/>
<br/>
Чтобы избежать обнаружения, бэкдор проверяет наличие песочницы или виртуальной машины с помощью system_profiler, а также использует обфускацию строк.<br/>
<br/>
<a href="https://xakep.ru/2025/07/09/atomic-backdoor/" target="_blank">@ xakep.ru</a>
</div>