Wprowadzenie do problemu / definicja
Atomic macOS Stealer, znany także jako AMOS, to złośliwe oprogramowanie typu infostealer zaprojektowane do wykradania danych z komputerów Apple. Najnowsza kampania pokazuje, iż operatorzy tego malware’u rozwijają techniki socjotechniczne i odchodzą od prostego nakłaniania ofiar do uruchamiania poleceń w Terminalu, wykorzystując zamiast tego mechanizm ClickFix oraz natywną aplikację Script Editor.
To podejście zwiększa wiarygodność ataku, ponieważ ofiara ma wrażenie, iż wykonuje legalną czynność administracyjną lub naprawczą. W praktyce prowadzi to do pobrania i uruchomienia ładunku, którego celem jest kradzież wrażliwych danych z systemu macOS.
W skrócie
Nowa kampania wymierzona w użytkowników macOS opiera się na fałszywych stronach pomocy technicznej, które imitują oficjalne komunikaty systemowe. Użytkownik jest przekonywany, iż powinien uruchomić bezpieczny skrypt naprawczy, mający rzekomo rozwiązać problem techniczny lub poprawić działanie systemu.
- Atak wykorzystuje technikę ClickFix oraz aplikację Script Editor.
- Ofiara uruchamia skrypt wyglądający na legalne narzędzie administracyjne.
- Skrypt pobiera i uruchamia ładunek Atomic macOS Stealer.
- Celem są hasła, cookies, dane z przeglądarek, pęku kluczy i portfeli kryptowalutowych.
Kontekst / historia
AMOS od dłuższego czasu pozostaje jednym z najbardziej rozpoznawalnych infostealerów atakujących środowiska Apple. W poprzednich kampaniach cyberprzestępcy wykorzystywali przede wszystkim fałszywe instalatory DMG, spreparowane strony pobierania aplikacji oraz instrukcje zachęcające użytkownika do manualnego wklejenia poleceń do Terminala.
Rosnąca popularność techniki ClickFix sprawiła jednak, iż przestępcy zaczęli przenosić ciężar ataku z pliku wykonywalnego na socjotechnikę. W nowym modelu użytkownik sam inicjuje niebezpieczne działanie, wierząc, iż wykonuje procedurę serwisową. To skuteczny sposób na obchodzenie części klasycznych mechanizmów ochronnych, które lepiej radzą sobie z analizą plików niż z nadużyciem legalnych komponentów systemowych.
Analiza techniczna
Punktem wejścia do ataku jest fałszywa strona internetowa podszywająca się pod instrukcję pomocy technicznej dla macOS. Może ona sugerować na przykład konieczność oczyszczenia dysku, naprawy błędu systemowego albo wykonania bezpiecznej operacji administracyjnej.
Kluczowy element kampanii stanowi przycisk uruchamiający niestandardowy schemat URI powiązany z aplikacją Script Editor. Po kliknięciu przeglądarka pyta użytkownika, czy zezwolić stronie na otwarcie tego programu. o ile ofiara zaakceptuje działanie, otwierany jest wstępnie przygotowany skrypt AppleScript, który wygląda jak legalne narzędzie serwisowe.
W rzeczywistości skrypt zawiera polecenie powłoki odpowiedzialne za pobranie zdalnego ładunku i jego uruchomienie. To istotna różnica względem wcześniejszych kampanii ClickFix, w których ofiara musiała kopiować i uruchamiać polecenia manualnie w Terminalu. Użycie Script Editor ogranicza liczbę kroków oraz obniża poziom podejrzeń, ponieważ aplikacja jest elementem natywnego środowiska macOS.
Ładunek końcowy zachowuje typowe możliwości AMOS. Po wykonaniu malware może przechwytywać zapisane hasła, cookies sesyjne, dane autouzupełniania, informacje z przeglądarek, dane z pęku kluczy, zasoby powiązane z portfelami kryptowalutowymi oraz wybrane dane systemowe. W środowiskach firmowych szczególnie cenne są również tokeny dostępu do usług chmurowych, sekrety deweloperskie oraz dane umożliwiające dalszą eskalację incydentu.
Warto zauważyć, iż nie jest to atak oparty na klasycznej luce w zabezpieczeniach systemu operacyjnego. Mechanizm bazuje na nadużyciu zaufania użytkownika, legalnych narzędzi systemowych oraz komunikatów generowanych przez przeglądarkę. To właśnie połączenie socjotechniki i automatyzacji czyni ten wariant szczególnie niebezpiecznym.
Konsekwencje / ryzyko
Dla użytkownika indywidualnego skutki infekcji mogą obejmować przejęcie kont pocztowych, komunikatorów, kont w usługach chmurowych oraz aktywów kryptowalutowych. Szczególnie groźna jest kradzież cookies i tokenów sesyjnych, ponieważ pozwala przejąć aktywne sesje bez konieczności poznania hasła.
W organizacjach ryzyko pozostało większe. Kompromitacja pojedynczej stacji roboczej z macOS może doprowadzić do wycieku danych klientów, przejęcia kont SaaS, dostępu do repozytoriów kodu, środowisk CI/CD oraz kluczy API. Infostealer może również stać się pierwszym etapem szerszego incydentu, obejmującego dalszy phishing, nadużycia finansowe, dostęp do chmury lub wdrożenie kolejnych narzędzi atakujących.
Dodatkowym problemem pozostaje skala takich kampanii. Fałszywe strony pomocy technicznej mogą być promowane przez reklamy, wyniki wyszukiwania, przejęte witryny lub różnego rodzaju przekierowania. W efekcie zagrożenie dotyczy zarówno użytkowników domowych, jak i administratorów, programistów czy pracowników działów finansowych.
Rekomendacje
Organizacje powinny traktować techniki ClickFix na macOS jako pełnoprawny wektor początkowego dostępu. Ochrona wymaga połączenia monitoringu zachowań, polityk bezpieczeństwa oraz edukacji użytkowników.
- Ograniczyć uruchamianie nieautoryzowanych skryptów i interpreterów.
- Monitorować wywołania Script Editor, AppleScript oraz nietypowe relacje procesów uruchamianych z przeglądarki.
- Wykrywać połączenia sieciowe następujące po działaniach typu pobierz-i-wykonaj.
- Wymuszać pobieranie systemu wyłącznie z oficjalnych źródeł.
- Szkolić użytkowników, aby nie uruchamiali skryptów naprawczych prezentowanych przez strony internetowe.
- Włączyć telemetrię EDR/XDR dla macOS z naciskiem na eksfiltrację danych i działania post-exploitation.
- Po incydencie rotować hasła, tokeny i klucze dostępowe.
- Przeglądać aktywne sesje w przeglądarkach, usługach SaaS i repozytoriach kodu.
Z perspektywy reagowania na incydenty samo usunięcie malware’u nie jest wystarczające. jeżeli AMOS został uruchomiony, należy założyć, iż wszystkie dane uwierzytelniające i sekrety dostępne z poziomu użytkownika mogły zostać skompromitowane. Oznacza to konieczność odizolowania hosta, zabezpieczenia artefaktów, analizy zakresu wycieku oraz weryfikacji, czy atak nie doprowadził do dalszych logowań w infrastrukturze.
Podsumowanie
Najnowsza kampania z użyciem Atomic Stealer pokazuje, iż zagrożenia dla macOS coraz częściej opierają się na nadużyciu legalnych komponentów systemu i precyzyjnej socjotechnice, a nie na eksploatacji klasycznych luk. Wykorzystanie Script Editor w scenariuszu ClickFix jest logiczną ewolucją wcześniejszych ataków opartych na Terminalu i potwierdza dużą elastyczność operatorów malware.
Dla zespołów bezpieczeństwa najważniejszy wniosek jest prosty: każda strona internetowa zachęcająca użytkownika do uruchomienia lokalnego skryptu, otwarcia narzędzia administracyjnego lub zaakceptowania nietypowego działania przeglądarki powinna być traktowana jako potencjalnie złośliwa. W przypadku AMOS pojedyncza decyzja użytkownika może wystarczyć do utraty danych o wysokiej wartości operacyjnej i biznesowej.
Źródła
- https://www.infosecurity-magazine.com/news/fake-macos-spread-infostealer/
- https://www.jamf.com/blog/clickfix-macos-script-editor-atomic-stealer/
- https://www.microsoft.com/en-us/security/blog/2026/02/02/infostealers-without-borders-macos-python-stealers-and-platform-abuse/
- https://www.sophos.com/en-us/blog/atomic-macos-stealer-leads-sensitive-data-theft-on-macos
- https://media.jamf.com/documents/white-papers/jamf-security-360-report-2024.pdf
