Mac.c бросает вызов легендарному AMOS — кто победит в битве троянов?

Moonlock Lab Mac.c AMOS mentalpositive macOS криптокошельки даркнет
Mac.c бросает вызов легендарному AMOS — кто победит в битве троянов?
Moonlock Lab Mac.c AMOS mentalpositive macOS криптокошельки даркнет

Сниженная цена, компактный размер и низкий порог входа могут навсегда сместить баланс сил в даркнете.

image

Новый троян для macOS, появившийся на даркнете под названием Mac.c, стремительно набирает популярность и начинает конкурировать с наиболее известным на чёрном рынке вредоносом AMOS . Аналитики Moonlock Lab первыми обратили внимание на этот инструмент и проследили его разработку, которую вёл хакер под ником mentalpositive. В отличие от большинства подпольных авторов, он открыто публиковал обновления и демонстрировал возможности своего кода на форумах даркнета, что помогло быстро привлечь к проекту покупателей.

Mac.c создавался как облегчённая версия AMOS, ориентированная на максимально быстрое похищение информации. Программа умеет извлекать данные из iCloud Keychain , хранённые браузерами пароли, криптокошельки, системные метаданные и даже документы из заданных директорий macOS. Для этого она активно задействует встроенные механизмы самой операционной системы — от AppleScript до стандартных API, что позволяет ей скрываться под видом легитимных процессов и обходить многие антивирусные решения. Обнаруженные возможности включают обход XProtect с помощью генерации уникальных сборок, удалённый файловый граббер и модуль для фишинга seed-фраз Trezor.

Помимо технической стороны, автор уделил внимание удобству операторов. Административная панель позволяет собирать статистику по заражениям, генерировать индивидуальные билды и управлять атаками. По мере развития проекта добавлялись интеграции: маскировка под Ledger Live, уменьшение размера бинарника для ускоренной загрузки и снижение заметности при статическом анализе.

Стоимость подписки на Mac.c составляет 1500 долларов в месяц, а отдельный модуль для кражи данных Trezor продаётся за тысячу долларов разово. Для сравнения, AMOS обходится минимум в 3000 долларов ежемесячно, поэтому новый инструмент оказался доступнее и сразу стал привлекательным для менее опытных и менее обеспеченных киберпреступников, включая так называемых «трафферов», распространяющих вредонос через фишинг и малвертайзинг.

Эксперты Moonlock Lab подтвердили полную работоспособность Mac.c, зафиксировав его образцы среди пользователей CleanMyMac. Вредонос распространяется под видом установочных файлов с названиями вроде Installer.dmg или «Installer descrakeador adobe.dmg», где применяется трюк с подделкой кряков популярных программ. Хотя CleanMyMac успел блокировать угрозу, исследователи отмечают, что сам факт выявления указывает на активное распространение. Визуальное сравнение кода Mac.c и AMOS показывает, что часть функций заимствована напрямую, что может говорить о связях между разработчиками.

Сценарий атаки строится на социальной инженерии: жертва загружает заражённый файл и запускает его, после чего активируется первый этап трояна. Далее он использует AppleScript для поиска данных и вызывает поддельные системные окна с запросом пароля. Введённые пользователем учётные данные сохраняются в открытом виде и применяются при последующем доступе к ресурсам системы.

Злоумышленники получают куки, логины и содержимое IndexedDB из браузеров Chrome, Edge, Brave и Yandex. Safari пока не поддерживается, но список целей расширяется. Особое внимание уделяется криптокошелькам: Mac.c извлекает данные из MetaMask, Phantom, Binance Wallet, Electrum, Exodus, Atomic, Monero, Wasabi и Ledger Live. Отдельный модуль имитирует игру Innocent Witches и требует пароль для «сохранения файлов», что ведёт на фишинговый сайт innocentwitches[.]top.

Хотя по функциональности Mac.c уступает AMOS, его невысокая стоимость и простота в использовании делают угрозу особенно опасной. Moonlock Lab прогнозируют, что популярность этого вредоноса будет расти, а новые версии получат расширенные возможности. На фоне роста атак на владельцев криптоактивов Mac.c открывает дорогу большему числу злоумышленников к рынку кражи цифровых активов.

Для защиты исследователи советуют загружать приложения только из проверенных источников, избегать переходов по сомнительным ссылкам, своевременно обновлять macOS и использовать специализированные средства обнаружения вредоносных программ. Владельцам криптовалют рекомендуется хранить ключи и активы на аппаратных кошельках или в защищённых приложениях, а не в браузерах.

Mac.c стал напоминанием о том, что macOS больше нельзя считать неуязвимой системой. Поддержка даркнет-сообществом и невысокая цена могут привести к новой волне атак, в которых главной целью снова окажутся цифровые деньги пользователей.