Киберпреступники постоянно ищут новые способы воспользоваться доверием пользователей. Ранее основными целями были электронная почта и поисковые системы, теперь — ответы в чатах на базе искусственного интеллекта. Специалисты предупреждают о новой мошеннической кампании, в рамках которой в результатах поиска Google появляются поддельные AI-диалоги, скрытно побуждающие пользователей Mac установить опасное вредоносное ПО. Особенно опасно то, что эти инструкции выглядят убедительно, профессионально и подробно, пока не происходит заражение системы.
Что такое Atomic macOS Stealer и как он распространяется
Распространяемый вредоносный софт называется Atomic macOS Stealer, или AMOS. Он представляет собой программу для кражи данных с компьютеров Mac. Атаки используют разговоры, созданные популярными инструментами ИИ, которыми пользователи все чаще пользуются для ежедневной помощи. Исследователи подтвердили, что в кампании задействованы такие сервисы, как ChatGPT и Grok.
Как работает схема и чем она опасна
Исследователи обнаружили, что заражение началось с поиска в Google по запросу «освободить место на диске Mac». Вместо обычной статьи пользователь увидел вставленный прямо в поисковый результат AI-диалог. В нем давались четкие инструкции, завершавшиеся командой для Terminal, которая и запускала AMOS.
При повторном анализе специалисты нашли множество похожих поддельных диалогов, появляющихся по схожим запросам. Это свидетельствует о целенаправленной операции по распространению вредоносного ПО среди пользователей Mac, ищущих советы по техническому обслуживанию.
Механизм атаки и скрытые угрозы
После выполнения команды в терминале происходит запуск скрипта, закодированного в base64. Он ведет на опасный URL, где размещен bash-скрипт, предназначенный для кражи паролей, повышения привилегий и закрепления доступа злоумышленников в системе. Все это происходит без вывода предупреждающих окон или запросов, что делает обнаружение атаки крайне сложным.
Как злоумышленники используют SEO и фальшивые ссылки
Многочисленные кампании используют доверие к AI и поисковым системам. Атакеры создают короткие, аккуратно оформленные диалоги, которые выглядят полезными. Эти диалоги тщательно подгоняются под популярные запросы, а затем распространяются через SEO-оптимизированные страницы или платные объявления.
Некоторые рекламные объявления выглядят почти идентичными легитимным, включая профессиональный брендинг. Пользователю остается только кликнуть и следовать инструкциям, не подозревая опасности.
Как защититься и не стать жертвой
Главное правило — никогда не запускайте команды в Terminal по указанию из AI-ответов или случайных сайтов. Настоящие исправления macOS редко требуют слепого копирования команд. Перед выполнением любых инструкций лучше сверить их с официальной документацией Apple или доверенными источниками.
Используйте менеджер паролей для создания уникальных надежных паролей. Современные менеджеры автоматически не заполняют данные на незнакомых сайтах, что помогает обнаружить фишинговые ресурсы. Также проверьте, не было ли утечек вашей электронной почты в известных взломах — это поможет своевременно сменить пароли и обезопасить учетные записи.
Обновляйте систему и программы сразу после выхода патчей — это важно для устранения уязвимостей. Антивирусное ПО, особенно с функциями мониторинга поведения, поможет выявить подозрительную активность и блокировать вредоносные скрипты.
Обратите внимание на рекламу и поисковики
Платные объявления могут выглядеть очень доверительно. Перед тем как кликнуть, обязательно узнайте, кто является рекламодателем. Если результат ведет к AI-диалогу, скачиванию или командами в Terminal — лучше закрыть страницу.
Если вы ищете советы по обслуживанию Mac, избегайте неофициальных источников и подозрительных ссылок. Помните, что злоумышленники создают фальшивые диалоги, которые выглядят профессионально, чтобы убедить вас следовать их инструкциям.
Эта новая тактика показывает, как злоумышленники меняют подходы — они не взламывают системы напрямую, а манипулируют доверием. Внимательность и проверка источников помогут не стать жертвой и защитить свои данные.