Вредоносная программа Atomic macOS Stealer, известная также как AMOS, все активнее бьет по пользователям macOS и считается одной из самых опасных программ для кражи данных, созданных под эту систему. Главная особенность AMOS в том, что ему не нужны редкие уязвимости нулевого дня или особенно сложные способы взлома. Вместо этого вредонос опирается на обычное поведение человека и добивается заражения через обман.
Суть схемы сводится к тому, что жертву убеждают собственноручно ввести вредоносную команду в программе Terminal. Именно такой случай недавно разбирала команда Sophos MDR. По этим данным, злоумышленники использовали схему социальной инженерии в стиле ClickFix, при которой человека под разными предлогами подталкивают вручную запустить строку кода.
Как пишет TechRadar, подобный подход все чаще встречался в атаках на macOS на протяжении 2025 года и в начале 2026-го. По данным Sophos, на AMOS пришлось почти 40% всех обновлений защиты для macOS, выпущенных компанией в 2025 году. Это более чем в 2 раза выше, чем у любой другой известной семьи вредоносных программ для этой системы за тот же период. Кроме того, почти половина всех обращений клиентов по программам для кражи данных на macOS за последние 3 месяца была связана именно с AMOS или близкими к нему вариантами.
Специалисты по безопасности отслеживают эту схему как услугу по модели аренды вредоноса как минимум с апреля 2023 года. Среди заметных кампаний упоминается вариант SHAMOS, о котором CrowdStrike сообщала в августе 2025 года. В декабре 2025 года компания Huntress также описала заражения, распространявшиеся через отравленные результаты поиска, связанные с разговорами о ChatGPT и Grok.
После запуска первой команды через Terminal срабатывает начальный сценарий загрузки. Сразу после этого программа просит у пользователя системный пароль от macOS. Затем вредонос проверяет правильность этого пароля локально с помощью стандартной системной команды служб каталогов и сохраняет его в скрытом файле .pass в домашней папке пользователя.
После получения пароля AMOS загружает следующий вредоносный модуль. Он удаляет расширенные атрибуты файлов, чтобы обойти предупреждения безопасности macOS. Затем программа проверяет, не запущена ли она внутри виртуальной машины или в песочнице. Для этого она обращается к данным system_profiler и ищет признаки QEMU, VMware или KVM.
Дальше начинается сбор данных. Вредонос пытается получить базу связки ключей macOS, учетные данные из Firefox и Chrome, файлы хранилищ расширений и локальные сеансовые токены. Некоторые версии также подсовывают поддельные приложения Ledger Wallet и Trezor Suite, чтобы украсть данные для доступа к криптокошелькам и их секретным фразам.
После этого вся собранная информация упаковывается в единый архив с помощью штатной утилиты ditto. Затем архив отправляется на серверы злоумышленников через curl-запросы типа POST. Чтобы закрепиться в системе надолго, вредонос устанавливает LaunchDaemon, который обеспечивает автоматический запуск после каждой перезагрузки компьютера.
При этом в публикации отмечается, что вокруг AMOS может быть и некоторое преувеличение. Программы для кражи данных много лет активно работают против Windows, поэтому сама идея такого вредоноса не нова. Кроме того, AMOS все же сильно зависит от согласия пользователя: человек должен сам вставить и запустить команду в Terminal. Для технически грамотных владельцев Mac это уже создает заметный барьер.
Отдельно подчеркивается, что Apple продолжает усиливать встроенную защиту через Gatekeeper, XProtect и требования к нотариальному подтверждению программ. Поэтому в будущем эффективность AMOS может снизиться после новых обновлений системы. Но главная проблема, как указывает материал, связана не только с самим AMOS, а с тем, что ни одна платформа не защищена, если пользователь игнорирует базовые предупреждения безопасности и сам запускает то, что ему прислали злоумышленники.
