Новая угроза для Mac: мошенники используют фальшивые CAPTCHA и мощный крадущий данные AMOS

Published on 03.07.2025
Новая угроза для Mac: мошенники используют фальшивые CAPTCHA и мощный крадущий данные AMOS Thumbnail

Эволюция мошеннических тактик: от Windows к macOS

Техника социального инженерства под названием ClickFix, которая с начала 2024 года нацелена на пользователей как Windows, так и macOS, продолжает совершенствоваться. За последние месяцы злоумышленники активно используют всё более изощренные методы для обмана жертв и установки вредоносного программного обеспечения.

Фальшивые CAPTCHA: как мошенники обманывают пользователей

В прошлом месяце я рассказывал о том, как злоумышленники используют ложные запросы CAPTCHA для того, чтобы заставить пользователей Windows самостоятельно установить вредоносное ПО. Сейчас эта же схема адаптирована для владельцев Mac, что делает ситуацию еще более опасной.

Новая кампания с использованием ClickFix и AMOS

Исследователи в области кибербезопасности обнаружили новую кампанию, в которой злоумышленники используют технику ClickFix для доставки серьезного вредоносного программного обеспечения — Atomic macOS Stealer (AMOS). Этот мощный крадущий данные malware нацелен на Apple-устройства и способен похищать конфиденциальную информацию.

Обман через поддельные онлайн-проверки

Злоумышленники маскируются под крупного американского телекоммуникационного провайдера Spectrum, создавая фальшивые домены, очень похожие на настоящие порталы поддержки. Посетители этих сайтов видят стандартную CAPTCHA-форму, которая, по их мнению, должна подтвердить их личность. Однако при попытке пройти проверку появляется фальшивое сообщение об ошибке, в котором предлагается «Альтернативная проверка». На этом этапе жертва невольно копирует в буфер обмена команду, которая затем активируется в Terminal.

Что делает вредоносный скрипт

На Mac эта команда, вставленная в Terminal, запускает shell-скрипт, который использует легитимные команды macOS. Скрипт запрашивает у пользователя пароль системы, что позволяет злоумышленникам получить доступ к учетным данным, отключить защитные механизмы системы и загрузить AMOS — крадущий данные malware, способный похищать пароли, ключи криптовалютных кошельков, автозаполнения браузеров и cookies.

Подозрительные признаки и происхождение атаки

Исследователи предполагают, что за этим кибератакой стоят русскоязычные злоумышленники. Об этом свидетельствуют комментарии на русском языке внутри кода вредоносного ПО и небрежная инфраструктура доставки — инструкции на разных устройствах несовместимы: например, Linux-пользователям показывают команды для Windows, а Mac-юзерам — клавиши, характерные только для Windows.

Как защититься от подобных угроз

Обеспечьте безопасность с помощью этих рекомендаций:

  • Будьте скептичны к CAPTCHA и подобным запросам: настоящий сервис никогда не попросит вас вставлять команды в Terminal без нужды. Если вам предлагают это сделать — скорее всего, вас обманывают. Немедленно закройте страницу.
  • Не кликайте на подозрительные ссылки и используйте антивирус: phishing-атаки часто начинаются с писем, якобы от известных компаний, таких как Google или Booking. Перед тем как перейти по ссылке, убедитесь в её подлинности. Надежный антивирус поможет выявить вредоносные письма и блокировать их.
  • Включайте двухфакторную аутентификацию: дополнительный уровень защиты помогает предотвратить несанкционированный вход даже при утечке пароля.
  • Обновляйте системы и программы: своевременные обновления закрывают уязвимости, используемые злоумышленниками. Включите автоматические обновления для максимальной защиты.
  • Следите за активностью аккаунтов и меняйте пароли: при подозрительной активности сразу меняйте пароли и используйте менеджеры паролей для создания сложных комбинаций.
  • Рассмотрите услуги по мониторингу личных данных: такие сервисы позволяют отслеживать использование ваших данных в интернете и быстро реагировать на возможные угрозы.

Обнаружены серьезные уязвимости в браузерах для Mac

Даже опытные пользователи могут попасться на уловки, когда вредоносный код маскируется под обычные операции. Важно помнить, что злоумышленники используют не только уязвимости системы, но и привычные сценарии взаимодействия, чтобы убедить пользователей выполнять опасные действия, такие как ввод пароля или запуск команд.

Что делать, если вы уже столкнулись с угрозой

Если вы подозреваете, что ваш Mac был подвержен атаке или обнаружили необычное поведение, рекомендуется провести полное сканирование системы с помощью надежного антивируса, изменить пароли и обратиться за профессиональной помощью. Следите за новостями и обновляйте свои знания о современных методах защиты.

Артем Мельник

Артем Мельник

Артем — эксперт по ИТ и новым технологиям, освещает стартапы, кибербезопасность и разработки украинских программистов. Ранее работал в сфере разработки ПО.

Расскажите друзьям

Previous

Next