Киберпреступники постоянно ищут новые способы завоевать доверие пользователей. Изначально это были фишинговые письма, затем — поисковые системы, а сейчас — фальшивые ответы в чатах, основанные на искусственном интеллекте. Новая кампания использует поддельные AI-разговоры, которые появляются в результатах поиска Google и скрытно заставляют пользователей Mac скачивать опасное вредоносное ПО. Особенно тревожно то, что всё выглядит вполне легитимно и помогает решить проблему шаг за шагом, пока система не оказывается под контролем злоумышленников.
Что такое Atomic macOS Stealer (AMOS) и как его распространяют?
Малварь, известная как Atomic macOS Stealer или AMOS, представляет собой мощный инструмент кражи данных для Mac. Атаки используют сгенерированные AI-разговоры, созданные популярными инструментами, такими как ChatGPT и Grok. Исследователи подтвердили, что злоумышленники злоупотребляют именно этими платформами для распространения вредоносных сценариев.
Как работают фальшивые AI-конверсии и поисковые манипуляции
Следуя примеру предыдущих кампаний, злоумышленники используют поисковые запросы вроде «освободить место на Mac» или «очистка диска macOS». Вместо обычных статей пользователь видит встроенный в результат поиска поддельный AI-чат, который даёт уверенные инструкции и советует выполнить команду в терминале. Эта команда запускает загрузку и установку AMOS, скрытую от пользователя.
Исследователи обнаружили многочисленные такие случаи, что свидетельствует о целенаправленной кампании, ориентированной на Mac-пользователей, ищущих простые советы по обслуживанию системы.
Механизм действия вредоносных команд
При выполнении команд злоумышленники используют закодированные строки, которые расшифровываются в URL с вредоносным скриптом. Этот скрипт предназначен для кражи учетных данных, повышения привилегий и закрепления контроля над системой — всё без появления предупреждений или запросов на разрешение.
Особая опасность в том, что весь процесс происходит через командную строку, без обычных защитных окон. Это позволяет злоумышленникам обходить стандартные механизмы защиты.
Манипуляции с поисковой выдачей и фейковые рекламные объявления
Злоумышленники используют две мощные идеи: доверие к AI-ответам и к результатам поиска. Они создают тщательно подготовленные диалоги, которые выглядят полезными, но на самом деле содержат вредоносные инструкции.
С помощью «промпт-инжиниринга» (специальных настроек запросов) злоумышленники заставляют AI генерировать инструкции по установке malware или очистке системы. Эти диалоги публикуются через публичные ссылки, которые затем продвигаются с помощью платных объявлений или SEO-манипуляций.
Рекламные объявления часто выглядят очень профессионально и почти неотличимы от настоящих. Например, фальшивый браузер «Atlas» для Mac, оформленный с использованием фирменных элементов, вызывает доверие и побуждает кликнуть.
Фишинг и использование поддельных электронных писем поддержки Apple
Злоумышленники также используют поддельные электронные письма поддержки Apple, чтобы заманить пользователей в ловушку. В таких письмах могут содержаться инструкции, кажется, исходящие от официальных источников, и призывы выполнить опасные действия.
Самое важное — если AI или сайт требуют запустить Терминал и вставить команду, лучше остановиться. Настоящая поддержка Apple почти никогда не требует от пользователя выполнять такие шаги без проверки. В противном случае, malware, такой как AMOS, сможет беспрепятственно внедриться в систему.
Как защититься от подобных угроз
- Всегда проверяйте источники инструкций, особенно если они требуют запуска команд в Терминале.
- Используйте надежный менеджер паролей, который создаст уникальные пароли и не позволит автоматом вводить данные на подозрительных сайтах.
- Проверяйте, не оказались ли ваши учетные записи в базе утечек — современные менеджеры паролей обычно имеют встроенные сканеры на уязвимости.
- Обновляйте macOS и программы своевременно, чтобы закрыть уязвимости, используемые злоумышленниками.
- Установите проверенное антивирусное ПО, которое отслеживает подозрительное поведение и блокирует вредоносные скрипты.
Что нужно помнить при поиске решений по обслуживанию Mac
Если результат поиска или AI-ответ предлагает скачать что-то или выполнить команду, лучше проверить официальные источники — сайт Apple или авторитетные сообщества разработчиков. Не верьте обещаниям быстрых решений без проверки.
Злоумышленники всё больше полагаются на доверие, которое вызывает профессионально выглядящая реклама и ответы. Важно сохранять бдительность, чтобы не стать жертвой фальшивых AI-конверсий и вредоносных сценариев.
Алексей "Gadgeteer" Беляев
Ваш персональный техно-стратег и цифровой шерпа в запутанных джунглях современных технологий. Он не только подвергает гаджеты самым суровым испытаниям, но и анализирует невидимые силы, движущие IT-индустрией. Его материалы — это не просто обзоры, а чёткая дорожная карта, которая помогает вам делать осознанный выбор и использовать технологии для улучшения жизни, а не наоборот.