Atomic macOS Stealer
A Kaspersky kutatása szerint a ChatGPT-t és a megtévesztést használva a bűnözők most az AMOS-t alkalmazzák, hogy macOS rendszereken adathalász-támadást hajtsanak végre. A kampány során a Google-ben hirdetett linkek ChatGPT-re mutatnak, mintha az új, Atlas nevű macOS-böngészőt lehetne letölteni. Az áldozat a linkre kattintva valóban a hivatalos ChatGPT-oldalra jut, méghozzá egy közzétett chat-beszélgetéshez, amely telepítési útmutatót tartalmaz. Ezt az útmutatót a támadók prompt-injekcióval generálták a chatbot segítségével, majd a beszélgetést megosztották, így az ártatlannak tűnő hivatkozás valójában rosszindulatú kód végrehajtásához vezet.
Ha a felhasználó követi az instrukciót, rendszerparancsot másol a terminálba, megadja a jelszavát, és futtatja, akkor a script letölt egy malware-payloadot a gépre, ismert infostealer-ként, az AMOS-ként azonosított trójait. Ez képes lopni jelszavakat, cookie-kat, böngésző-profilokat, kriptotárca-adattokat, dokumentumokat (szövegfájlok, PDF-ek, DOCX-ek), üzenet- és VPN-adatokat, majd mindezt továbbküldi a támadóknak. Emellett a backdoor automatikusan elindul újraindítás után, azaz a fertőzés tartós.
A veszély mértékét az is mutatja, hogy az AMOS az elmúlt hónapokban látványos terjedésnek indult, 2025 augusztusában előfordulásai hirtelen megugrottak, és sok helyen vált a macOS-t célzó zsaroló- és infostealer kampányok leggyakoribb képviselőjévé.
A támadás sikere azon alapul, hogy az áldozatok megbízhatónak érzik a linket, a ChatGPT-domén miatt, a letöltés ígérete miatt, valamint mert nem egy gyanús .dmg-fájlt futtatnak, hanem egy ártalmatlannak tűnő parancsot. Ez jól mutatja, nem a technikai sebezhetőség, hanem a pszichológiai megtévesztés (social-engineering) a kulcs, az LLM- és AI-hype kombinálva a clickfix típusú támadásokkal új fegyvert ad a bűnözők kezébe.
