В конце прошлого года зловред AMOS применял для своего распространения незамысловатый, но эффективный приём с ChatGPT, а теперь с аналогичной целью использует ИИ-помощника OpenClaw.
Вредоносная программа AMOS, нацеленная на похищение конфиденциальных данных, начала активно использовать популярные приложения на базе искусственного интеллекта в своих атаках на macOS.
В начале февраля компания KOI Security обнародовала отчёт, где отмечается, что экосистема ClawHub, построенная вокруг известного ИИ-ассистента OpenClaw, превратилась в источник вредоносного ПО: из 2800 зарегистрированных «навыков» 341 оказался опасным, причём 335 из них были частью одной кампании, связанной с AMOS (также известным как Atomic macOS Stealer).
Компания Flare в своём материале напоминает, что AMOS впервые обнаружили в Telegram, причём рекламное объявление было составлено на русском языке. Тогда заявленные возможности вредоноса включали извлечение паролей из хранилища macOS, кражу файлов и системных данных, перехват сессий браузера и похищение информации из криптокошельков.
Позднее даже логи AMOS (и других криптостилеров) стали востребованным товаром в киберпреступной среде, отмечает Flare.
AMOS традиционно распространялся через стандартные для таких вредоносов каналы: от фишинговых писем до поддельных обновлений программного обеспечения и пиратских приложений. Не обошлось и без злоупотреблений рекламной сетью Google Ads, объявления из которой вели на фишинговые сайты. Что касается установки на устройствах пользователей, то операторы AMOS полагаются на уловки вроде ClickFix: жертв убеждают скопировать и вставить вредоносный код в системный терминал, тем самым запуская его.
Как говорится в отчёте Flare, монетизация AMOS представляет собой многоуровневую структуру, на которой зарабатывают не только разработчики и операторы атак, но и многочисленные брокеры доступа, хакеры, специализирующиеся на захвате учётных записей, эксперты по отмыванию транзакций и обналичиванию криптовалют, а также операторы программ-вымогателей и другие участники.
— Искоренить такую разветвлённую сеть крайне сложно, если вообще возможно, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Возможно, когда-нибудь это произойдёт, но на данный момент пользователям практичнее соблюдать основные правила цифровой гигиены и хотя бы иногда повышать свою осведомлённость о хакерских и мошеннических уловках. В частности, попытки заставить пользователя скопировать и запустить что-то в терминале — это стопроцентный признак кибератаки, которую жертва, по сути, совершает сама против себя.
Кампания ClawHavoc, связанная с эксплуатацией ИИ-приложений, не является первой для создателей и распространителей AMOS. В декабре 2025 года специалисты компании Huntress опубликовали отчет, в котором описывались атаки на пользователей ChatGPT: злоумышленники применяли функцию групповых чатов ChatGPT для размещения вредоносных инструкций по установке несуществующего браузера ChatGPT Atlas под macOS. В итоге все сводилось к атаке ClickFix и копированию вредоносной команды в терминал.
Что касается ClawHavoc, то сама атака проста, но эффективна и требует лишь поверхностного понимания конечным пользователем «навыков» (расширений) для OpenClaw.
Жертвам настоятельно рекомендуется перед установкой «навыка» скачать мнимую агентскую утилиту — если речь идет о Windows, и запустить ее; а если речь о macOS, то перейти по предложенной ссылке, скопировать оттуда скрипт, вставить его в системный терминал и запустить.
«Поскольку ИИ-ассистенты — это новая технология, их пользователей сравнительно легко обманом заставить установить вредоносное ПО, выдав его за компонент, который якобы необходимо установить заранее, — отмечает Михаил Зайцев. — На деле нужно всеми доступными способами проверять, какие компоненты предлагается установить, и ни в коем случае не вставлять в терминал macOS посторонние скрипты».
