Pratite nas preko RSS-a“Besplatni” krekovani program može biti skupa lekcija
Opisi virusa, 08.09.2025, 11:30 AM
Istraživači iz kompanije Trend Micro upozoravaju na novu kampanju Atomic macOS Stealer (AMOS) malvera, koji cilja korisnike macOS-a maskirajući se u “krekovane” verzije legitimnih aplikacija. Ova kampanja pokazuje „značajnu taktičku adaptaciju“ sajber kriminalaca, jer uspeva da zaobiđe poboljšane bezbednosne mehanizme u novom macOS Sequoia.
Napadači su umesto .dmg fajlova počeli da koriste instalaciju kroz Terminal, što im omogućava da zaobiđu nove Gatekeeper zaštite. Žrtve se socijalnim inženjeringom navode da preuzmu maliciozni .dmg fajl ili da kopiraju i nalepe komande u macOS Terminal (podseća na ranije „fake CAPTCHA“ tehnike).
Šta AMOS krade
Nakon instalacije, AMOS uspostavlja perzistentnost na sistemu i počinje da krade osetljive podatke. To uključuje lozinke i korisničke naloge, podatke pregledača (istoriju i kolačiće), kripto novčanike, Telegram četove, VPN profile, Keychain podatke, Apple Notes i fajlove iz uobičajenih direktorijuma.
Lanac infekcije
Istraživači su otkrili slučajeve gde su korisnici posećivali sajt haxmac[.]cc, poznat po hostovanju krekovanih macOS aplikacija. U analiziranim slučajevima, korisnici su tražili i preuzimali aplikaciju „CleanMyMac“, inače legitiman program koji se može preuzeti sa Mac App Store-a.
Kako napad funkcioniše
Korisnik preuzima krekovani softver sa sumnjivog sajta. Zatim se preusmerava na početnu stranicu AMOS-a gde se od njega traži da klikne na „Download for macOS“ ili mu se daje uputstvo da kopira i nalepi komande u Apple Terminal.
Stranica vrši OS fingerprinting, da bi se utvrdilo da li posetilac koristi Windows ili MacOS pre nego što ga preusmeri na odgovarajuću stranicu. Primećeno je da nekoliko različitih domena deluju kao preusmeravači, dok se odredište preusmeravanja menja sa svakom posetom kako bi se zaobišla detekcija. Međutim, uputstva na stranicama ostaju identična.
Nakon preuzimanja fajla update u privremeni direktorijum, skripta com.finder.helper.plist podešava macOS da stalno pokreće skriptu .agent. Ona se izvršava u beskonačnoj petlji, proverava ko je prijavljen i pokreće malver u pozadini.
Napadači često rotiraju domene i URL-ove kako bi izbegli statičku detekciju i blokade.
Istraživači su rekli da vrsta informacija koje AMOS može da ukrade predstavlja značajan rizik za kompanije, kao i za pojedince. To uključuje credential stuffing napade, finansijske prevare ili dalje upade u poslovne sisteme.
Kako se zaštititi
Stručnjaci savetuju da se softver preuzima isključivo iz zvaničnih izvora (App Store, zvanični sajt proizvođača) i da se ne kopiraju komande u Terminal sa nepouzdanih sajtova. Preporuka za kompanije je da primene strategije dubinske odbrane i da se ne oslanjaju samo na ugrađene Apple zaštite.
Foto: Ricardo IV Tamayo | Unsplash
Izdvojeno
Novi malver Storm krade podatke pregledača i preuzima naloge bez lozinke
Novi kradljivac informacija pod nazivom Storm pojavio se početkom 2026. na forumima ya sajber kriminal, donoseći promenu u načinu krađe podataka. ... Dalje
Lažni Claude AI instalater širi PlugX malver na Windows sistemima
Lažni instalater za Claude AI koristi se za širenje PlugX malvera na Windows sistemima, upozoravaju istraživači iz kompanije Malwarebytes. Prema n... Dalje
Infinity Stealer cilja macOS: lažni CAPTCHA navodi korisnike da sami pokrenu malver
Nova infostealer pod nazivom Infinity Stealer cilja korisnike macOS-a, kombinujući socijalni inženjering i napredne tehnike izbegavanja detekcije. I... Dalje
Tiha oluja: novi kradljivac lozinki Storm menja pravila igre
Istraživači iz Varonisa otkrili su novu varijantu infostealer malvera pod nazivom Storm, koja prikuplja kredencijale pregledača, kolačiće sesije... Dalje
Malver DeepLoad kombinuje ClickFix i AI-generisani kod za izbegavanje detekcije
Nova kampanja malvera, nazvana DeepLoad, kombinuje socijalni inženjering i tehnike izbegavanja generisane veštačkom inteligencijom kako bi kompromi... Dalje
Pratite nas
Nagrade
Prijatelji
