Pratite nas preko RSS-a“Besplatni” krekovani program može biti skupa lekcija
Opisi virusa, 08.09.2025, 11:30 AM
Istraživači iz kompanije Trend Micro upozoravaju na novu kampanju Atomic macOS Stealer (AMOS) malvera, koji cilja korisnike macOS-a maskirajući se u “krekovane” verzije legitimnih aplikacija. Ova kampanja pokazuje „značajnu taktičku adaptaciju“ sajber kriminalaca, jer uspeva da zaobiđe poboljšane bezbednosne mehanizme u novom macOS Sequoia.
Napadači su umesto .dmg fajlova počeli da koriste instalaciju kroz Terminal, što im omogućava da zaobiđu nove Gatekeeper zaštite. Žrtve se socijalnim inženjeringom navode da preuzmu maliciozni .dmg fajl ili da kopiraju i nalepe komande u macOS Terminal (podseća na ranije „fake CAPTCHA“ tehnike).
Šta AMOS krade
Nakon instalacije, AMOS uspostavlja perzistentnost na sistemu i počinje da krade osetljive podatke. To uključuje lozinke i korisničke naloge, podatke pregledača (istoriju i kolačiće), kripto novčanike, Telegram četove, VPN profile, Keychain podatke, Apple Notes i fajlove iz uobičajenih direktorijuma.
Lanac infekcije
Istraživači su otkrili slučajeve gde su korisnici posećivali sajt haxmac[.]cc, poznat po hostovanju krekovanih macOS aplikacija. U analiziranim slučajevima, korisnici su tražili i preuzimali aplikaciju „CleanMyMac“, inače legitiman program koji se može preuzeti sa Mac App Store-a.
Kako napad funkcioniše
Korisnik preuzima krekovani softver sa sumnjivog sajta. Zatim se preusmerava na početnu stranicu AMOS-a gde se od njega traži da klikne na „Download for macOS“ ili mu se daje uputstvo da kopira i nalepi komande u Apple Terminal.
Stranica vrši OS fingerprinting, da bi se utvrdilo da li posetilac koristi Windows ili MacOS pre nego što ga preusmeri na odgovarajuću stranicu. Primećeno je da nekoliko različitih domena deluju kao preusmeravači, dok se odredište preusmeravanja menja sa svakom posetom kako bi se zaobišla detekcija. Međutim, uputstva na stranicama ostaju identična.
Nakon preuzimanja fajla update u privremeni direktorijum, skripta com.finder.helper.plist podešava macOS da stalno pokreće skriptu .agent. Ona se izvršava u beskonačnoj petlji, proverava ko je prijavljen i pokreće malver u pozadini.
Napadači često rotiraju domene i URL-ove kako bi izbegli statičku detekciju i blokade.
Istraživači su rekli da vrsta informacija koje AMOS može da ukrade predstavlja značajan rizik za kompanije, kao i za pojedince. To uključuje credential stuffing napade, finansijske prevare ili dalje upade u poslovne sisteme.
Kako se zaštititi
Stručnjaci savetuju da se softver preuzima isključivo iz zvaničnih izvora (App Store, zvanični sajt proizvođača) i da se ne kopiraju komande u Terminal sa nepouzdanih sajtova. Preporuka za kompanije je da primene strategije dubinske odbrane i da se ne oslanjaju samo na ugrađene Apple zaštite.
Foto: Ricardo IV Tamayo | Unsplash
Izdvojeno
Zloglasni ransomware kartel LockBit obeležio godišnjicu rada najopasnijom verzijom ransomware-a do sada
Trend Micro je otkrio novu verziju ransomware-a LockBit, LockBit 5.0, koja je „značajno opasnija“ od prethodnih verzija. Grupa LockBit ob... Dalje
Novi malver ModStealer u lažnim oglasima za posao
Nakon što je prošlog meseca upozorila na malver za Mac skriven na lažnom sajtu za PDF konverziju, firma Mosyle je otkrila ModStealer, novi malver z... Dalje
Novi malver Raven Stealer krade lozinke i podatke o plaćanju iz Chrome-a i Edge-a
Tim za obaveštajnu analizu pretnji Lat61 kompanije Point Wild otkrio je novi malver nazvan Raven Stealer, koji je dizajniran da tiho i brzo krade pod... Dalje
MostereRAT: novi trojanac preuzima potpunu kontrolu nad Windows uređajima
Istraživači iz FortiGuard Labs upozoravaju na novi malver nazvan MostereRAT, koji se širi putem phishing kampanje i cilja korisnike Windows uređaj... Dalje
“Besplatni” krekovani program može biti skupa lekcija
Istraživači iz kompanije Trend Micro upozoravaju na novu kampanju Atomic macOS Stealer (AMOS) malvera, koji cilja korisnike macOS-a maskirajući se ... Dalje
Pratite nas
Nagrade
Prijatelji
