Atomik MacOS Stealer (AMOS), geleneksel bir bilgi çalıcıdan, uzlaşmış MACOS sistemlerine uzun vadeli erişimi sürdürebilen sofistike kalıcı bir tehdide dönüşen önemli bir evrim geçirdi.
Bu geliştirme, kötü amaçlı yazılım yeteneklerinde kritik bir artışa işaret ederek saldırganların uzak komutları yürütmesini ve orijinal veri hırsızlığı işlevlerinin ötesinde ek yükler dağıtmasını sağlar.
Kötü amaçlı yazılımların dağıtım stratejisi iki temel saldırı vektörünü birleştirir: çatlak veya sahte yazılımlar sunan web siteleri ve yüksek değerli bireyleri, özellikle kripto para birimi sahiplerini ve sanatçılar da dahil olmak üzere serbest çalışanları hedefleyen sofistike mızrak aktı kampanyaları.
Bu kimlik avı saldırıları genellikle meşru iş görüşmesi süreçleri olarak maskelenir ve kurbanları, ekran paylaşım yazılımını etkinleştirme iddiası altında sistem şifreleri talep ederek truva atma DMG dosyalarını kurmaya kandırır.
Polyswarm analistleri, Amos kampanyalarının 120’den fazla ülkeyi etkilediğini belirledi, ABD, Fransa, İtalya, İngiltere ve Kanada en önemli faaliyeti yaşadı.
Hizmet olarak kötü amaçlı yazılım modeli, şu anda geliştirilmekte olan potansiyel anahtarlama özelliklerini gösteren raporlarla sürekli bir gelişme önermektedir.
Kalıcılık ve Kaçınma Mekanizmaları
Backdoor’un teknik uygulaması, sistem yeniden başlatmalarından kurtulmak ve tespitten kaçınmak için tasarlanmış sofistike kalıcılık taktiklerini göstermektedir. Amos bir ikili adlandırdı .helper Kurbanın ana dizininde gizli bir dosya olarak, .agent sürekli yürütme sağlar.
Kötü amaçlı yazılım, etiketli bir Launchdaemon ile kalıcılık oluşturur com.finder.helperYüksek ayrıcalıklar için çalıntı kullanıcı kimlik bilgileri kullanılarak Applescript aracılığıyla yüklenmiştir.
Komut ve kontrol sunucuları ile iletişim, yeni görevler almak için her 60 saniyede bir iletilen HTTP Post istekleri aracılığıyla gerçekleşir.
Analiz sırasında algılamayı önlemek için Amos, dize gizleme teknikleri kullanır ve kum havuzu veya sanal makine ortamlarını aktif olarak kontrol eder. system_profiler dağıtım ve yürütme aşamaları sırasında operasyonel güvenliğin sağlanması.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi