08/07/25
Теперь он оснащена полноценным скрытым бэкдором, обеспечивающей злоумышленникам постоянный и незаметный доступ к заражённым системам. Этот компонент позволяет выполнять удалённые команды, сохраняется после перезагрузки и обеспечивает полный контроль над устройствами жертв, пишет Securitylab.
Специалисты из подразделения Moonlock компании MacPaw провели технический разбор новой версии после сообщения от независимого аналитика, известного под псевдонимом g0njxa. Ранее этот вредонос уже охватил более 120 стран, и наибольшее количество заражений зафиксировано в США, Франции, Италии, Великобритании и Канаде.
Atomic Stealer впервые был описан весной 2023 года и распространялся по модели MaaS — вредонос как услуга — через каналы в Telegram за $1000 в месяц. Основной целью зловреда являются файлы macOS, криптовалютные расширения и пароли, сохранённые в браузерах. Осенью 2023 года вредонос стал частью первой атаки в рамках ClearFake-кампании на macOS, а спустя год — в сентябре 2024-го — его использовала группа Marko Polo в массовом заражении Apple-устройств.
Если раньше заражение шло через взломанные программы и сторонние сайты, то сейчас распространение стало точечным. Хакеры начали рассылать фишинговые письма владельцам криптовалютных кошельков и предлагать фальшивые собеседования для фрилансеров.
Исследованная версия Atomic содержит встроенный бэкдор, использует LaunchDaemons для сохранения в системе после перезагрузки и отслеживает жертв по уникальным признакам. Также был замечен переход на новое командное управление и инфраструктуру связи.
Основной файл бэкдора — исполняемый бинарный файл с названием «.helper». После заражения он сохраняется в директории пользователя в скрытом виде. Его запуск обеспечивает скрипт «.agent», также скрытый, который непрерывно запускает вредонос как текущий пользователь. Для автозапуска используется LaunchDaemon с названием com.finder.helper, устанавливаемый с помощью AppleScript. При этом выполняются действия с повышенными правами, которые злоумышленники получают, похитив пароль пользователя на начальной стадии заражения.
После установки программа способна выполнять команды, устанавливать другие вредоносы, фиксировать нажатия клавиш и перемещаться по внутренней сети. Она маскируется от систем анализа, проверяя наличие песочниц и виртуальных машин через system_profiler. Кроме того, применяются техники обфускации строк, чтобы скрыть поведение программы от анализаторов.
