===== AMOS stealer i drugi malware na macOS sustavima ===== [[https://ferhr-my.sharepoint.com/:v:/g/personal/vk52998_fer_hr/ESvyMESoq25BiLnAVZz-mU4BUj4TYl-wcs2exS1vBxo90w?e=0Zldg9&nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJTdHJlYW1XZWJBcHAiLCJyZWZlcnJhbFZpZXciOiJTaGFyZURpYWxvZy1MaW5rIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXcifX0%3D|Videoprezentacija]] ===== Sažetak ===== MacOS je dugo vremena bio smatran sigurnim operacijskim sustavom, no porast prijetnji u 2024. godini, uključujući malware poput Atomic stealera (AMOS), Poseidon stealera i Cthulhu stealera, pokazuje da ni Appleovi uređaji nisu imuni na cyber napade. AMOS, koji se prodaje kao usluga na dark webu, fokusiran je na krađu osjetljivih podataka poput lozinki, kolačića, kripto-novčanika i datoteka iz Desktop i Documents mapa. Apple pruža širok spektar sigurnosnih alata poput XProtecta, Gatekeepera i Lockdown Mode-a, dok Safari dolazi s ugrađenim značajkama za zaštitu privatnosti, kao što je Intelligent Tracking Prevention. Iako ove mjere značajno doprinose sigurnosti, korisnici bi trebali dodatno zaštititi svoje uređaje redovitim ažuriranjem softvera, korištenjem snažnih lozinki i stalnom edukacijom o potencijalnim prijetnjama i metodama napada. ===== Uvod ===== Sigurnost računalnih sustava postaje sve važnija s obzirom na sve veći broj prijetnji koje dolaze u obliku različitih vrsta malware-a. MacOS je dugi niz godina uživao reputaciju sigurnog operacijskog sustava, posebno u usporedbi s Windowsima, kada je riječ o prijetnjama zlonamjernim softverom. Povremeni incidenti, poput prevara putem oglasa ili ransomware napada, bili su relativno rijetki i nisu predstavljali značajnu prijetnju korisnicima. Ova percepcija dodatno je učvršćena uvjerenjem, koje još uvijek prevladava među mnogima, da je macOS imun na zlonamjerni softver [4] [5]. No, 2024. godina donijela je značajnu promjenu. Zabilježen je nagli porast prijetnji usmjerenih na macOS, uključujući ozbiljne prijetnje poput Atomic stealera, Poseidon stealera i Cthulhu stealera. Nakon što se pokrene, Atomic stealer može prikupiti stotine, ako ne i tisuće podataka s jednog računala - podaci koji se mogu prodati na crnom tržištu ili iskoristiti za daljnje napade [4] [5]. Ovaj razvoj situacije jasno pokazuje da napadači sve češće ciljaju macOS uređaje, prepoznajući njihovu rastuću prisutnost u poslovnim okruženjima te važnost podataka koje ti sustavi pohranjuju. ===== Sigurnost macOS-a: Jesu li Mac računala sigurnija od Windows računala? ===== Apple se ističe kao jedan od vodećih proizvođača tehnologije, a Mac računala prepoznatljiva su po svom elegantnom dizajnu. Ipak, mnoga Windows računala svojim hardverom i performansama mogu stati uz bok Apple-u i većini korisnika i dalje predstavljaju pristupačniju opciju. Tvrdnje o većoj sigurnosti Mac računala u odnosu na Windows računala često se pojavljuju. Međutim, pitanje je jesu li Mac računala zaista sigurnija ili je to samo rezultat popularnosti određenog operacijskog sustava. Istina je da su Mac računala manje izložena napadima, jednostavno zato što ih je manje u uporabi. Mac računala općenito se smatraju sigurnijima, a to je djelomično zbog toga što je operacijski sustav Mac-a temeljen na Unixu, što ga čini težim za kompromitiranje. Također, Apple ima strogu kontrolu nad hardverom i softverom, a sigurnost Mac računala dodatno je pojačana brojnim zaštitama i sigurnosnim mjerama ugrađenim u računalo i njegov operacijski sustav [1] [2]. Međutim, to ne znači da bi korisnici trebali smatrati svoje Mac računalo potpuno neprobojnim. Razina sigurnosti u konačnici ovisi o korisnicima, njihovoj edukaciji te poduzetim mjerama zaštite od potencijalnih prijetnji. ==== Zaštita aplikacija ==== Apple nudi nekoliko rješenja uključujući antivirusni softver pod nazivom XProtect, koji detektira i blokira poznati zlonamjerni softver. Apple redovito prati nove prijetnje i ažurira XProtect kako bi osigurao učinkovitu zaštitu. Kada se određena aplikacija pokrene, XProtect provodi provjeru na zlonamjerni softver. Ako XProtect detektira zlonamjerni softver, blokira aplikaciju i uklanja je [1] [2]. Uz zaštitu koju pruža XProtect, tu je i Gatekeeper, značajka macOS-a koja ima za cilj spriječiti instalaciju zlonamjernog softvera. Gatekeeper provjerava je li svaka aplikacija preuzeta s interneta verificirana od strane Apple-a i provjerena na prisutnost zlonamjernog koda. Ako aplikacija predstavlja sigurnosni rizik, Gatekeeper će onemogućiti njezinu instalaciju [1] [2]. Svaka aplikacija na Mac App Store-u prolazi detaljan pregled od strane Apple-a, čime je zajamčeno da neće predstavljati sigurnosni rizik. Osim toga, Apple osigurava da aplikacije transparentno informiraju korisnike o načinu na koji koriste njihove podatke, čime se isključuje mogućnost da se bilo koji podaci dijele s trećim stranama bez pristanka korisnika. Ipak, čak i aplikacije koje nisu preuzete iz App Store-a bit će provjerene od strane Apple-a prije nego što se mogu instalirati – to je svrha funkcionalnosti ranije spomenutog Gatekeeper-a [2]. Apple također osigurava redovita sigurnosna ažuriranja za Mac računala. ==== Sigurno pregledavanje interneta ==== Apple nudi različite mjere zaštite od prijetnji poput zlonamjernih aplikacija, no najveće opasnosti često dolaze od phishing e-mailova, sumnjivih web stranica i online usluga koje korisnici koriste. Appleov web preglednik, Safari, implementira brojne sigurnosne značajke koje korisnicima omogućuju sigurno surfanje internetom. Safari automatski upozorava korisnike na sumnjive web stranice i sprječava njihovo otvaranje. Svaka web stranica učitava se kao zaseban proces u posebnoj kartici, što omogućuje korisnicima da zatvore samo problematičnu karticu bez da dođe do pada cijelog preglednika [2]. Također, JavaScript može predstavljati sigurnosnu prijetnju, a u Safariju je lako onemogućiti ovu opciju. Korisnici mogu onemogućiti JavaScript kroz postavke preglednika, no bitno je napomenuti da to može utjecati na prikazivanje nekih sadržaja na webu. Osim što se fokusira na sigurnost korisnika, Apple također štiti privatnost svojih korisnika. Na primjer, Apple koristi funkciju “Intelligent Tracking Prevention” kako bi spriječio oglašivače da prate korisnike prilikom surfanja internetom. Korisnici također mogu pregledati izvještaj o privatnosti, koji prikazuje sve pokušaje praćenja putem cross-site trackera, a Apple automatski blokira ove pokušaje kako bi osigurao zaštitu privatnosti svojih korisnika [2]. ==== Lockdown Mode ==== Apple je također dodao novu razinu sigurnosti u obliku Lockdown Mode-a, koji se aktivira u slučaju cyber napada, blokirajući određene značajke sustava te se smatra ekstremnom razinom zaštite za korisnike koji se suočavaju s najsofisticiranijim prijetnjama [1] [2]. ==== Zaštita lozinki ==== Apple također prati lozinke korisnika, pomaže u njihovoj zamjeni za sigurnije opcije te obavještava korisnike ako se ustanovi da je njihova lozinka bila uključena u sigurnosni incident ili povredu podataka. U tom kontekstu, Apple nudi iCloud Keychain, sustav za upravljanje lozinkama koji je kompatibilan sa svim Apple uređajima. Ovaj sustav omogućuje korisnicima jednostavno prijavljivanje u aplikacije i usluge na svim uređajima bez potrebe za pamćenjem pojedinačnih lozinki i pristupnih podataka. Prednost ovog pristupa je u tome što korisnici mogu koristiti snažne lozinke koje Apple može generirati umjesto oslanjanja na lako pamtljive lozinke. Sve lozinke pohranjuju se i zaštićuju glavnom lozinkom, koja je dodatno osigurana dvostrukom autentifikacijom (2FA) [2]. Također, Apple nudi funkcionalnost Passkeys, koja je uvedena u macOS Ventura i iOS 16 kao jednostavniji i sigurniji način prijave. Passkeys su sigurniji jer eliminiraju potrebu za lozinkama koje bi mogle biti kompromitirane, a cijeli proces prijave šifriran je end-to-end. Svaka usluga ili web stranica dobije specifičan passkey, koji se pohranjuje na korisnikovom uređaju i u iCloud Keychainu, čime je omogućeno korištenje na svim Apple uređajima. Autentifikacija se vrši putem Face ID-a ili Touch ID-a [2]. ==== Ugrađene hardverske zaštite ==== „Kako bi softver bio siguran, mora se osloniti na hardver koji ima ugrađene sigurnosne značajke“, navodi Apple. Ova izjava naglašava glavnu prednost Mac računala: Apple razvija i softver i hardver, čime ima potpunu kontrolu nad svim aspektima računala [2]. Apple implementira sigurnosne mjere unutar hardvera svojih Mac računala, a to je osobito vidljivo kod modela opremljenih M-serijom čipova. M1 čip, predstavljen u studenom 2020. godine, kao i svi kasniji čipovi M-serije, sadrže integrirani Secure Enclave – tehnologiju koja štiti lozinke za prijavu i automatski šifrira korisničke podatke. Čak i Mac računala s Intelovim procesorima, koja koriste T1 ili T2 sigurnosne čipove, omogućuju šifriranje pohrane i osiguravaju sigurno pokretanje sustava [2]. Secure Enclave je posebna komponenta posvećena sigurnosnim funkcijama, odvojena od glavnog procesora, čime se značajno smanjuje površina napada. Ova tehnologija uključuje Boot ROM, koji omogućuje sigurno pokretanje sustava, i AES hardver za šifriranje podataka. Osim toga, podaci o licu i otisku prsta, koji se koriste za Face ID i Touch ID, također su pohranjeni unutar Secure Enclave, čime se dodatno osigurava privatnost i sigurnost korisnika [2]. ===== AMOS stealer ===== Atomic macOS (AMOS) stealer je specifičan tip zlonamjernog softvera koji cilja korisnike Mac računala. Riječ je o vrsti malware-a poznatoj kao infostealer, koji je dizajniran za prikupljanje osjetljivih informacija s inficiranih sustava radi financijske dobiti, krađe identiteta ili drugih zlonamjernih aktivnosti. Zbog svoje učinkovitosti i dostupnosti kao Malware-as-a-Service (MaaS) ponude na “podzemnim” forumima (dark web), AMOS je postao sve popularniji među kibernetičkim kriminalcima [3]. AMOS se oglašava i prodaje na javnim Telegram kanalima. U svibnju 2023. bio je dostupan po cijeni od 1000 dolara mjesečno, dok je također bila ponuđena i "doživotna" licenca, čija cijena nije bila objavljena. Međutim, prema najnovijim podacima iz svibnja 2024., cijena mjesečne pretplate povećala se na 3000 dolara (Slika 1) [5]. {{:racfor_wiki:seminari2024:amos_1.png?400|Slika 1: Oglas za AMOS stealer na Telegram kanalu [5]}} **Slika 1**: Oglas za AMOS stealer na Telegram kanalu [5] Ovaj infostealer osmišljen je za prikupljanje osjetljivih informacija s inficiranih Mac računala, uključujući lozinke korisničkih računa, podatke iz internetskih preglednika, kolačiće sesija, sadržaj kripto novčanika te datoteke iz mapa Desktop i Documents. Nakon pokretanja, Atomic Stealer obično traži administrativni pristup, nastoji osigurati dugotrajan pristup sustavu, prikuplja osjetljive podatke i šalje ih na udaljeni server pod kontrolom napadača [3]. ==== Metode širenja ==== Atomic Stealer koristi razne metode za širenje i infekciju macOS sustava, uključujući lažne instalacijske programe popularnih aplikacija poput Photoshopa i Microsoft Officea, zlonamjerno oglašavanje putem Google Adsa koje preusmjerava korisnike na lažne web stranice, te lažna ažuriranja preglednika poput Safarija i Chromea. Osim toga, napadači kompromitiraju legitimne web stranice ubacivanjem zlonamjernog koda i koriste tehnike društvenog inženjeringa, poput lažnih oglasa i phishing poruka, kako bi namamili korisnike na preuzimanje malware-a [3]. {{:racfor_wiki:seminari2024:cleanmymac.png?400|Slika 2: Primjer lažne web stranice koja imitira CleanMyMac na adresi hxxps://cleanmymac[.]pro/ [6]}} **Slika 2**: Primjer lažne web stranice koja imitira CleanMyMac [6] ==== Tehnička analiza ==== U okviru analize Atomic Stealera, analizirana je datoteka "ArcBrowser.dmg" koja je preuzeta s phishing stranice. Nakon pokretanja datoteke, korisniku se prikazuje zahtjev za lozinkom, uz poruku koja pokušava prikupiti sustavnu lozinku. Osim što pribavlja sustavnu lozinku, stealer koristi system_profiler, ugrađeni alat u macOS-u, kako bi prikupio informacije o konfiguraciji Mac računala [6]. Naredba prikazana na slici (Slika 3) generira opsežan izvještaj koji uključuje informacije o verziji macOS-a, instaliranim aplikacijama, ažuriranjima, specifikacijama memorije, detalje o grafičkoj kartici i mnoge druge. {{:racfor_wiki:seminari2024:ta_1.png?400|Slika 3: Prikupljanje informacija o sustavu [6]}} **Slika 3**: Prikupljanje informacija o sustavu [6] Nakon toga, stealer pretražuje direktorije instaliranih preglednika na žrtvinom računalu, tražeći specifične datoteke povezane s preglednicima kako bi izvukao osjetljive podatke [6]. Stealer također koristi AppleScript, kao što je prikazano na slici u nastavku (Slika 4), koji služi kao file grabber i koristi aplikaciju Finder za organiziranje i kopiranje specifičnih datoteka u folder nazvan "fg" [6]. Ciljane datoteke uključuju Cookies.binarycookies iz Safari mape kolačića te određene datoteke (NoteStore.sqlite, NoteStore.sqlite-shm, NoteStore.sqlite-wal) iz Notes mape. Osim toga, skripta pretražuje datoteke na Desktopu i u Documents mapi, selektivno kopirajući datoteke s ekstenzijama kao što su txt, png, jpg, jpeg, wallet, keys i key. Datoteke se prenose uz ograničenje ukupne veličine od 10 MB kako bi veličina sadržaja u mapi "fg" ostala ispod tog limita. Ako prijenos prema C&C poslužitelju prijeđe taj limit, može doći do problema s mrežom [6]. {{:racfor_wiki:seminari2024:ta_2.png?400|Slika 4: AppleScript za funkciju koja prikuplja datoteke [6]}} **Slika 4**: AppleScript za funkciju koja prikuplja datoteke [6] Na kraju se koristi funkcija sentdata() (Slika 5) za slanje prikupljenih podataka na Command and Control (C&C) poslužitelj koji je pod kontrolom napadača [6]. {{:racfor_wiki:seminari2024:ta_3.png?400|Slika 5: Slanje prikupljenih podataka na C&C poslužitelj [6]}} **Slika 5**: Slanje prikupljenih podataka na C&C poslužitelj [6] ==== Kako reagirati nakon napada Atomic stealer-om ==== Ako se sumnja da je Atomic Stealer inficirao Mac, potrebno je odmah poduzeti nekoliko koraka. Prvo, isključivanje internetske veze sprječava daljnje krađe podataka i širenje na druge uređaje. Zatim, preporuča se promijeniti sve lozinke preko neinficiranog uređaja, s posebnim naglaskom na lozinke za financijske usluge i e-poštu. Također, savjetuje se kontaktiranje profesionalne tvrtke za kibernetičku sigurnost koja može pomoći u odgovorima na incident, eliminaciji zlonamjernog softvera i razvoju plana oporavka. Izvještaj iz digitalne forenzike može biti koristan za utvrđivanje opsega provale i prikupljanje dokaza. U slučaju kompromitacije osjetljivih podataka, potrebno je obavijestiti relevantne strane i nadležne vlasti. Nakon što se osigura da je sustav čist, podaci se mogu vratiti s sigurnosne kopije napravljene prije infekcije [3]. ==== Zaštita od Atomic stealer-a ==== Kako bi zaštitili svoj Mac od Atomic Stealer-a i sličnih prijetnji, korisnici trebaju biti oprezni s preuzimanjima i preuzimati softver isključivo iz pouzdanih izvora, poput Apple Store-a te provjeravati URL adrese web stranica. Također korisnici trebaju biti oprezni s bilo kojim skočnim prozorima koji traže lozinke ili povišene ovlasti (Slika 6) [5]. {{:racfor_wiki:seminari2024:ioc.png?400|Slika 6: Primjer macOS malware-a koji traži lozinku [5]}} **Slika 6**: Primjer macOS malware-a koji traži lozinku [5] Većina dosad viđenih infostealer-a distribuiraju se izvan službenog Mac App Storea i nisu ovjereni od strane Applea – zbog čega se često koristi društveni inženjering [5]. Također, važno je redovito ažurirati operacijski sustav i aplikacije s najnovijim sigurnosnim zakrpama [4]. Korisnicima se savjetuje da ne otvaraju neočekivane poruke i da koriste jake, jedinstvene lozinke, uz dvostruku autentifikaciju kada god je to moguće. Redovito sigurnosno kopiranje podataka na sigurnom offline mjestu također je ključno za očuvanje podataka [3]. Konačno, podizanje svijesti i edukacija o metodama koje kibernetički kriminalci koriste, poput lažnog oglašavanja i phishinga, omogućuju korisnicima da budu oprezniji i bolje informirani [4]. ===== Drugi malware-i koji se mogu naći na macOS-u ===== Među najčešćim zlonamjernim softverima koji su napadali Mac računala 2023. godine nalaze se Exploit HVNC, koji omogućava udaljenu kontrolu nad Mac računalom, ShadowVault, koji prikuplja lozinke, podatke o kriptovalutama i kreditnim karticama, te JokerSpy, koji napadaču omogućuje preuzimanje kontrole nad sustavom i krađu vjerodajnica te kripto novčanika [1]. ===== Zaključak ===== Porast prijetnji kao što je AMOS Stealer naglašava potrebu za jačanjem sigurnosnih mjera i svijesti među korisnicima macOS-a. Iako Appleovi sustavi uključuju napredne sigurnosne alate i značajke, oslanjanje isključivo na ugrađenu zaštitu nije dovoljno. Ključnu ulogu u sprječavanju kompromitacije sustava ima edukacija korisnika koja obuhvaća razumijevanje suvremenih prijetnji, prepoznavanje potencijalnih napada i usvajanje najboljih sigurnosnih praksi. ===== Literatura ===== [1] EndSight, Are Macs More Secure? It Depends., https://www.endsight.net/blog/are-macs-more-secure [2] Macworld, How secure is a Mac and are Macs really more secure than Windows?, https://www.macworld.com/article/668710/how-secure-mac.html [3] Proven Data, Atomic Stealer: A Dangerous Threat to Mac Users, https://www.provendata.com/blog/what-is-atomic-stealer-amos/ [4] Red canary, Apple picking: Bobbing for Atomic Stealer & other macOS malware, https://redcanary.com/blog/threat-detection/atomic-stealer/ [5] Sophos News, Atomic macOS Stealer leads sensitive data theft on macOS, https://news.sophos.com/en-us/2024/09/06/atomic-macos-stealer-leads-sensitive-data-theft-on-macos/ [6] CYBLE, Uncovering Atomic Stealer (AMOS) Strikes and the Rise of Dead Cookies Restoration, https://cyble.com/blog/uncovering-atomic-stealer-amos-strikes-and-the-rise-of-dead-cookies-restoration/ [7] KNF, CSIRT, AMOS/ATOMIC Stealer, Malware On MacOS, https://cebrf.knf.gov.pl/images/STEALER_mac_os_EN_KP.pdf