Pratite nas preko RSS-a“Besplatni” krekovani program može biti skupa lekcija
Opisi virusa, 08.09.2025, 11:30 AM
Istraživači iz kompanije Trend Micro upozoravaju na novu kampanju Atomic macOS Stealer (AMOS) malvera, koji cilja korisnike macOS-a maskirajući se u “krekovane” verzije legitimnih aplikacija. Ova kampanja pokazuje „značajnu taktičku adaptaciju“ sajber kriminalaca, jer uspeva da zaobiđe poboljšane bezbednosne mehanizme u novom macOS Sequoia.
Napadači su umesto .dmg fajlova počeli da koriste instalaciju kroz Terminal, što im omogućava da zaobiđu nove Gatekeeper zaštite. Žrtve se socijalnim inženjeringom navode da preuzmu maliciozni .dmg fajl ili da kopiraju i nalepe komande u macOS Terminal (podseća na ranije „fake CAPTCHA“ tehnike).
Šta AMOS krade
Nakon instalacije, AMOS uspostavlja perzistentnost na sistemu i počinje da krade osetljive podatke. To uključuje lozinke i korisničke naloge, podatke pregledača (istoriju i kolačiće), kripto novčanike, Telegram četove, VPN profile, Keychain podatke, Apple Notes i fajlove iz uobičajenih direktorijuma.
Lanac infekcije
Istraživači su otkrili slučajeve gde su korisnici posećivali sajt haxmac[.]cc, poznat po hostovanju krekovanih macOS aplikacija. U analiziranim slučajevima, korisnici su tražili i preuzimali aplikaciju „CleanMyMac“, inače legitiman program koji se može preuzeti sa Mac App Store-a.
Kako napad funkcioniše
Korisnik preuzima krekovani softver sa sumnjivog sajta. Zatim se preusmerava na početnu stranicu AMOS-a gde se od njega traži da klikne na „Download for macOS“ ili mu se daje uputstvo da kopira i nalepi komande u Apple Terminal.
Stranica vrši OS fingerprinting, da bi se utvrdilo da li posetilac koristi Windows ili MacOS pre nego što ga preusmeri na odgovarajuću stranicu. Primećeno je da nekoliko različitih domena deluju kao preusmeravači, dok se odredište preusmeravanja menja sa svakom posetom kako bi se zaobišla detekcija. Međutim, uputstva na stranicama ostaju identična.
Nakon preuzimanja fajla update u privremeni direktorijum, skripta com.finder.helper.plist podešava macOS da stalno pokreće skriptu .agent. Ona se izvršava u beskonačnoj petlji, proverava ko je prijavljen i pokreće malver u pozadini.
Napadači često rotiraju domene i URL-ove kako bi izbegli statičku detekciju i blokade.
Istraživači su rekli da vrsta informacija koje AMOS može da ukrade predstavlja značajan rizik za kompanije, kao i za pojedince. To uključuje credential stuffing napade, finansijske prevare ili dalje upade u poslovne sisteme.
Kako se zaštititi
Stručnjaci savetuju da se softver preuzima isključivo iz zvaničnih izvora (App Store, zvanični sajt proizvođača) i da se ne kopiraju komande u Terminal sa nepouzdanih sajtova. Preporuka za kompanije je da primene strategije dubinske odbrane i da se ne oslanjaju samo na ugrađene Apple zaštite.
Foto: Ricardo IV Tamayo | Unsplash
Izdvojeno
Povratak malvera GlassWorm: novi talas napada sada cilja Mac računare
Istraživači iz kompanije Koi Security upozorili su na novi talas napada malvera GlassWorm, koji je po prvi put usmeren isključivo na macOS programe... Dalje
Lažni modovi i krekovi kriju Stealka malver koji krade lozinke i kriptovalute
Stručnjaci kompanije Kaspersky otkrili su novi infostealer malver pod nazivom Stealka, koji cilja korisnike Windows sistema. Napadači ga koriste za ... Dalje
MacSync Stealer, prerušen u pouzdanu aplikaciju, krade sve sačuvane lozinke
Godinama su korisnici Mac računara verovali da su bezbedni zahvaljujući Apple-ovom strogom procesu provere aplikacija, koji bi trebalo da garantuje ... Dalje
Novi trojanac ChrimeraWire: lažni korisnici, pravi klikovi i SEO prevara
Istraživači kompanije Doctor Web otkrili su novi malver nazvan ChrimeraWire, trojanca koji služi za manipulaciju rangiranjem u pretraživačima tak... Dalje
Lažne ponude za posao na LinkedIn-u služe kao mamac za macOS malver FlexibleFerret
Istraživači Malwarebytes-a su otkrili novi napad usmeren na korisnike Mac računara - lažne ponude za posao koje vode do instalacije malvera preko ... Dalje
Pratite nas
Nagrade
Prijatelji
