Pratite nas preko RSS-a“Besplatni” krekovani program može biti skupa lekcija
Opisi virusa, 08.09.2025, 11:30 AM
Istraživači iz kompanije Trend Micro upozoravaju na novu kampanju Atomic macOS Stealer (AMOS) malvera, koji cilja korisnike macOS-a maskirajući se u “krekovane” verzije legitimnih aplikacija. Ova kampanja pokazuje „značajnu taktičku adaptaciju“ sajber kriminalaca, jer uspeva da zaobiđe poboljšane bezbednosne mehanizme u novom macOS Sequoia.
Napadači su umesto .dmg fajlova počeli da koriste instalaciju kroz Terminal, što im omogućava da zaobiđu nove Gatekeeper zaštite. Žrtve se socijalnim inženjeringom navode da preuzmu maliciozni .dmg fajl ili da kopiraju i nalepe komande u macOS Terminal (podseća na ranije „fake CAPTCHA“ tehnike).
Šta AMOS krade
Nakon instalacije, AMOS uspostavlja perzistentnost na sistemu i počinje da krade osetljive podatke. To uključuje lozinke i korisničke naloge, podatke pregledača (istoriju i kolačiće), kripto novčanike, Telegram četove, VPN profile, Keychain podatke, Apple Notes i fajlove iz uobičajenih direktorijuma.
Lanac infekcije
Istraživači su otkrili slučajeve gde su korisnici posećivali sajt haxmac[.]cc, poznat po hostovanju krekovanih macOS aplikacija. U analiziranim slučajevima, korisnici su tražili i preuzimali aplikaciju „CleanMyMac“, inače legitiman program koji se može preuzeti sa Mac App Store-a.
Kako napad funkcioniše
Korisnik preuzima krekovani softver sa sumnjivog sajta. Zatim se preusmerava na početnu stranicu AMOS-a gde se od njega traži da klikne na „Download for macOS“ ili mu se daje uputstvo da kopira i nalepi komande u Apple Terminal.
Stranica vrši OS fingerprinting, da bi se utvrdilo da li posetilac koristi Windows ili MacOS pre nego što ga preusmeri na odgovarajuću stranicu. Primećeno je da nekoliko različitih domena deluju kao preusmeravači, dok se odredište preusmeravanja menja sa svakom posetom kako bi se zaobišla detekcija. Međutim, uputstva na stranicama ostaju identična.
Nakon preuzimanja fajla update u privremeni direktorijum, skripta com.finder.helper.plist podešava macOS da stalno pokreće skriptu .agent. Ona se izvršava u beskonačnoj petlji, proverava ko je prijavljen i pokreće malver u pozadini.
Napadači često rotiraju domene i URL-ove kako bi izbegli statičku detekciju i blokade.
Istraživači su rekli da vrsta informacija koje AMOS može da ukrade predstavlja značajan rizik za kompanije, kao i za pojedince. To uključuje credential stuffing napade, finansijske prevare ili dalje upade u poslovne sisteme.
Kako se zaštititi
Stručnjaci savetuju da se softver preuzima isključivo iz zvaničnih izvora (App Store, zvanični sajt proizvođača) i da se ne kopiraju komande u Terminal sa nepouzdanih sajtova. Preporuka za kompanije je da primene strategije dubinske odbrane i da se ne oslanjaju samo na ugrađene Apple zaštite.
Foto: Ricardo IV Tamayo | Unsplash
Izdvojeno
“Besplatni” krekovani program može biti skupa lekcija
Istraživači iz kompanije Trend Micro upozoravaju na novu kampanju Atomic macOS Stealer (AMOS) malvera, koji cilja korisnike macOS-a maskirajući se ... Dalje
Seksualna ucena (sextortion): sajber kriminalci imaju novi trik
Sajber kriminalci podigli su sextortion (seksualnu ucenu) na viši nivo sa malverom koji veb kamerom slika korisnike koji gledaju pornografiju. Seksua... Dalje
Lažni PDF editori u Google oglasima kriju malver TamperedChef
Istraživači iz Truesec-a i G DATA otkrili su novu kampanju sajber kriminalaca koji koriste Google oglase da bi usmerili žrtve na lažne sajtove gde... Dalje
Lažni imejlovi instaliraju malver UpCrypter na Windows računarima
FortiGuard Labs, istraživački tim kompanije Fortinet, otkrio je novu globalnu kampanju koja preko phishing mejlova širi malver UpCrypter. Ovaj malv... Dalje
PromptLock: era AI ransomware-a je počela
Istraživači iz kompanije ESET otkrili su prvi AI ransomware, prototip nazvan PromptLock, koji koristi model Open AI za generisanje skripti koje cilj... Dalje
Pratite nas
Nagrade
Prijatelji
