Замечена новая кампания атак на пользователей macOS через поддельные страницы CAPTCHA
09/06/25
Заражение происходит по схеме, известной как ClickFix — метод, стремительно набирающий популярность среди распространителей шпионского ПО.
Текущая кампания построена вокруг вредоносной программы Atomic macOS Stealer (AMOS), уже давно знакомой аналитикам, пишет Securitylab. На этот раз её распространяют через сайты, выдающие себя за веб-страницы американского телеком-оператора Spectrum. Доменные имена вроде panel-spectrum[.]net и spectrum-ticket[.]net визуально имитируют настоящие адреса, что усиливает правдоподобие фальшивок.
При заходе на такую страницу жертве предлагается пройти проверку соединения через hCaptcha — якобы чтобы убедиться, что трафик не перехвачен. Пользователь кликает по знакомому флажку «Я человек» и сталкивается с ошибкой. Сайт утверждает, что проверка не удалась, и предлагает «альтернативную верификацию» — кнопку, по нажатию на которую в буфер обмена автоматически копируется команда.
Дальнейшие действия зависят от операционной системы, но цель всегда одна: убедить пользователя вручную запустить вредоносный скрипт. В случае macOS предлагается открыть терминал и вставить команду, которая запрашивает системный пароль. Под этим предлогом запускается цепочка загрузки: сначала выполняется скрипт на языке shell, затем загружается второй этап — AMOS.
AMOS — это информационный стилер, предназначенный для кражи паролей, автозаполнений, данных из криптокошельков и других конфиденциальных сведений. Скрипт активно использует стандартные инструменты macOS для обхода встроенных механизмов защиты, получения доступа к системным данным и запуска двоичных файлов без предупреждений.
Анализ показал, что исходный код содержит комментарии на русском языке, что указывает на возможное участие русскоязычных хакеров. Это косвенно подтверждает происхождение инфраструктуры атаки и методологии её реализации.
Внимание исследователей также привлекли многочисленные ошибки в логике вредоносных страниц. Например, пользователям Linux отображалась команда PowerShell, не предназначенная для этой платформы. Кроме того, и на Windows, и на macOS выдавалось указание нажать Win+R, что вообще не имеет смысла на компьютерах Apple. Нестыковки могут говорить о спешке при создании инфраструктуры — вероятно, злоумышленники торопились запустить кампанию до обнаружения.
Однако даже с такими недоработками метод ClickFix продолжает работать: он опирается на повседневную привычку пользователей быстро «проталкивать» все проверки и предупреждения. Подделка CAPTCHA или окон куки не вызывает тревоги, особенно если оформление совпадает с оригиналом до последнего пикселя.