A Kaspersky kiberbiztonsági kutatói egy új AMOS infostealer kampányt azonosítottak, amely Google keresési hirdetéseket használ arra, hogy felhasználókat navigáljon olyan, nyilvánosan megosztott ChatGPT- és Grok-beszélgetésekbe, amelyek legitimnek tűnő „hasznos” segédleteket kínálnak, valójában viszont a macOS-t érintő AMOS infostealer telepítéséhez vezetnek. A ClickFix támadási lánc azzal kezdődik, hogy az áldozatok macOS-szel kapcsolatos problémákra, például karbantartási kérdésekre, hibakeresésre vagy az OpenAI Atlas böngészőjére keresnek rá.
A Huntress elemzései alapján az AMOS egy olyan, széles körű, célzott, Google találatokat manipuláló kampány, ami a macOS-szal kapcsolatos problémákra rákereső felhasználókat támadja, mivel hasonló keresőkifejezésre (how to clear data on iMac, clear system data on iMac, free up storage on Mac) is ugyanazt a manipulált találatot adja. Amennyiben a felhasználó követi az utasításokat és lefuttatja a chat által javasolt Terminal-parancsokat, a base64-kódolt URL egy „update” nevű bash scriptre dekódolódik, amely egy hitelesnek tűnő, de valójában hamis jelszóbekérőt jelenít meg. A megadott jelszót a script ellenőrzi, elmenti, majd jogosultsági szint növelésével letölti az AMOS infostealert és futtatja a kártevőt.
Az AMOS, kifejezetten macOS-rendszereket célzó malware-as-a-service szolgáltatást először 2023 áprilisában fedezték fel. Azóta idén egy új backdoor modult is kaptak az AMOS-példányok, amely lehetővé teszi további parancsok végrehajtását, billentyűleütések naplózását és további payloadok telepítését. A kártevő [.]helper néven rejtve a felhasználó könyvtárába kerül. Indításkor átvizsgálja az Applications mappát Ledger Wallet vagy Trezor Suite után kutatva. Ha talál ilyet, trójai változatra cseréli, majd „biztonsági ellenőrzésre” hivatkozva elkéri a felhasználó seed phrase-ét. Az AMOS számos kriptotárcát céloz, többek között az Electrumot, az Exodust, a MetaMaskot, a Ledger Live-ot és a Coinbase Walletet, továbbá böngészők sütijeit, mentett jelszavait, autofill-adatait és session tokenjeit, valamint a macOS Keychainben tárolt alkalmazás- és Wi-Fi-jelszavakat és helyi fájlokat is gyűjt. A perzisztenciát egy LaunchDaemon (com[.]finder[.]helper[.]plist) biztosítja, amely egy rejtett AppleScriptet futtat watchdogként. Ha a folyamat leáll, egy másodpercen belül újraindítja.
A felhasználóknak fokozott óvatossággal szükséges kezelniük az internetről származó parancsokat.