AtomicStealer — це вже серйозно: як вкрасти паролі з браузерів, викрадати криптогаманці та красти Telegram/Discord сесії
Короткий опис: AtomicStealer (AMOS) — це шкідник для macOS, який краде паролі з браузерів, cookie, криптогаманці, Telegram-дані та інші чутливі файли, а потім передає їх зловмисникам для подальшого захоплення акаунтів і крадіжки грошей.
Найчастіше користувач бачить фейкове оновлення браузера, “крікову” версію програми, підроблений сайт, або повідомлення з інструкцією запустити файл чи ввести пароль системи. На практиці це закінчується тим, що з комп’ютера тихо витягують збережені логіни, сесії Telegram/Discord, дані криптогаманців і файли з робочих папок.
AtomicStealer — це вже серйозно
Atomic Stealer, який також називають AMOS, є macOS-інфостілером, що продається як Malware-as-a-Service і регулярно оновлюється з новими можливостями. Дослідники описують його як загрозу, яка краде дані з Chrome, Firefox та інших застосунків, включно з ключами доступу, cookie, збереженими паролями, даними Keychain і файлами з директорій Desktop, Downloads та Documents.
Для звичайного користувача це небезпечно не “взагалі”, а дуже конкретно: викрадається пароль від пошти, логіни до соцмереж, доступ до криптогаманця, сесія Telegram або Discord, а далі зловмисники можуть зайти в акаунт без повторного введення пароля.
Як працює ця схема або проблема
Схема зазвичай починається з підробленого сайту, реклами, фейкового інсталятора або “кнопки запуску”, яка виглядає як легітимна дія. Далі користувача підштовхують відкрити DMG, ZIP, “оновлення”, “крікову” програму або виконати команду в Terminal через ClickFix-пастку.
Після запуску AtomicStealer намагається зібрати максимум цінних даних: системну інформацію, пароль користувача через фальшиве вікно, файли Keychain, cookies, saved passwords, autofill, дані криптогаманців, Telegram tdata та інші артефакти браузерів і месенджерів. У деяких кампаніях шкідник також копіює документи з Desktop, Downloads і Documents, особливо файли типу txt, pdf, docx, wallet, key та keys.
Що бачить користувач: “потрібен пароль для встановлення”, “оновіть браузер”, “помилка сумісності”, “натисніть Start Now”, “введіть код”, “дозвольте доступ”. Насправді мета одна — отримати запуск шкідливого коду або обманом змусити ввести пароль і далі вкрасти дані сесій і облікових записів.
Ознаки зараження часто не виглядають драматично. Може з’явитися незрозуміле навантаження CPU, підрісше використання RAM, активний мережевий трафік у фоновому режимі, підозрілі процеси, нові елементи в автозапуску, дивні служби, а також раптові входи в акаунти з нових пристроїв.
Окрема проблема AtomicStealer у тому, що він часто краде не лише пароль, а й cookie або токени сесії. Це означає, що акаунт можуть захопити навіть без знання пароля, просто імпортуючи вкрадену сесію.
Найшвидший спосіб захиститися
Найбільш практичний захист для більшості користувачів простий: не запускати файли з підозрілих джерел, не вводити пароль у фейкових вікнах, не ставити “безкоштовні” кріки, оновити macOS і браузер, увімкнути двофакторний захист, а також перевірити, чи немає підозрілих розширень і невідомих сесій у Telegram, Discord, пошті та криптосервісах.
Якщо сайт просить відкрити Terminal, вставити команду або завантажити “спеціальний інсталятор” — це червоний прапорець. Якщо програма “просить пароль для перевірки ліцензії” одразу після запуску з випадкового сайту — це теж червоний прапорець.
Для браузера варто перевірити збережені паролі, розширення, дозволи на push-повідомлення та список активних сесій у критичних сервісах. Для Telegram і Discord — вийти з усіх підключених пристроїв і заново зайти лише на своїх.
Покрокова інструкція
- Підготовка:
Зробіть резервну копію важливих файлів на окремий носій або в перевірене хмарне сховище. Далі перевірте пошту, Apple ID, Telegram, Discord, банківські та криптоакаунти на предмет чужих входів, а також оновіть macOS, браузер і вбудовані засоби безпеки системи.
Окремо відкрийте налаштування браузера і подивіться список розширень. Підозрілими є ті, які ви не ставили самі, особливо якщо вони пов’язані з “coupon”, “security”, “PDF”, “wallet”, “search” або “update”.
Перевірте антивірус або вбудований захист, чи не вимкнені сканування, веб-захист і захист від шкідливих завантажень.
- Основні дії:
Перевірте активність у системі: знайдіть невідомі процеси, дивні служби, програми з автозапуску та незрозумілі агенти входу. Якщо помічаєте постійну мережеву активність у фоновому режимі без відкритих програм, це привід для детальнішої перевірки.
Змініть паролі на важливих сервісах із чистого пристрою. Почніть з пошти, Apple ID, банку, Telegram, Discord, криптобірж і менеджера паролів. Після зміни пароля завершіть усі активні сесії, а не лише на одному пристрої.
Перевірте Telegram: відкрийте список активних сеансів, вийдіть з усіх невідомих пристроїв, увімкніть двофакторний пароль і перевірте, чи не підключено сторонні ботів або сесійні клієнти.
Перевірте браузер: видаліть підозрілі розширення, скиньте налаштування, очистіть cookie для критичних сайтів і заново авторизуйтеся. Це особливо важливо, якщо ви боїтеся крадіжки cookie або session token.
Видаліть підозрілі DMG, ZIP, PKG, “кріки”, “патчі” та “інсталятори”, які ви завантажували перед проблемою. Якщо файл маскувався під Tor, Photoshop, Notion, Microsoft Office чи криптогаманець — ставтеся до нього як до шкідливого.
Перевірте VPN-профілі та Wi-Fi-підключення. Шкідник сам по собі не “ламає VPN”, але заражений пристрій може зливати вже готові сесії, а підозрілі мережеві профілі та проксі тільки ускладнюють діагностику.
- Перевірка результату:
Після очищення перевірте, чи зникли підозрілі процеси, чи немає нових входів у акаунти, чи перестали з’являтися дивні системні вікна і чи стабільно працює мережа.
Якщо після зміни паролів акаунти знову починають блокуватися або приходять листи про входи з невідомих IP, проблема ще не вирішена. У такому разі слід повторно перевірити браузер, пошту, Telegram, Discord і криптосервіси з чистого пристрою.
Система вважається чистішою тоді, коли немає невідомих авторизацій, зникли дивні вікна, не росте навантаження CPU/RAM без причини, а фоновий трафік повернувся до норми.
Корисні поради та лайфхаки
-
Швидка перевірка безпеки: відкрийте список логінів у браузері, знайдіть збережені паролі, перевірте дозволи сайту на push-повідомлення і перегляньте активні сесії у пошті, Telegram, Discord та криптосервісах. Це займає кілька хвилин, але часто показує проблему раніше за антивірус.
-
Лайфхак: якщо підозрюєте крадіжку cookie, одного лише зміни пароля недостатньо. Потрібно ще завершити всі сесії, очистити cookies і, де можливо, примусово вийти з усіх пристроїв. Саме сесійні токени часто дозволяють зайти без повторного введення пароля.
-
Двофакторна автентифікація сильно знижує ризик захоплення акаунта після крадіжки пароля, але не рятує, якщо атакувальник уже вкрав активну сесію або отримав доступ до пошти для скидання паролів. Тому 2FA треба поєднувати з виходом із сесій і контролем пошти.
-
Безпечний DNS і захист у браузері допомагають блокувати частину фішингових і шкідливих сайтів ще до відкриття сторінки. Це не замінює обережність, але зменшує шанс потрапити на підроблений домен чи фейковий сайт із завантаженням AMOS.
-
Перевірка дозволів браузера корисна проти фейкових push-повідомлень. Якщо якийсь сайт отримав право надсилати сповіщення, він може засипати вас підробленими попередженнями про віруси, оновлення або “виграш”, а далі вести на шкідливу сторінку.
Приклади фейкових листів, повідомлень і небезпечних файлів
Фейковий лист може виглядати так: “Ваш обліковий запис буде заблоковано через 24 години. Завантажте оновлення безпеки за вкладенням”. Інший варіант: “Виявлено підозрілий вхід у Telegram, підтвердьте особу за посиланням”. Такі листи грають на терміновості та страху.
Шахрайське повідомлення у месенджері часто коротке: “Привіт, це служба підтримки. У нас технічна перевірка, надішліть код із SMS” або “Ваш акаунт потрапив під перевірку, натисніть на форму”. У Telegram часто додають фальшиві боти, QR-коди та псевдопідтримку криптопроєктів.
Небезпечні файли зазвичай мають вигляд .dmg, .pkg, .zip або архівів із “кріком”, “патчем”, “активатором”, “оновленням”, “installer”, “update” чи “license”. У випадку AtomicStealer часто маскують файл під нібито легітимний інсталятор або торрент-версію популярної програми.
Підозрілий сайт часто копіює дизайн відомого сервісу, але має дивний домен, зайві дефіси, дивну зону або помилки в текстах. Типовий сценарій: ви бачите майже справжній сайт, натискаєте кнопку завантаження, і вас ведуть на сторінку з інструкцією відкрити файл чи виконати команду.
Типові помилки користувачів
Перша помилка — відкривати .exe або .zip із випадкової розсилки чи месенджера. На macOS так само небезпечні DMG, PKG і ZIP-архіви з “корисною програмою”. Симптомом часто стає поява вікна з паролем, після чого починається фонове крадання даних. Наслідок — компрометація браузерних паролів, cookie і криптогаманців. Виправлення просте: не запускати файли з неперевірених джерел і перевіряти походження програми перед установкою.
Друга помилка — переходити за фейковими посиланнями з повідомлень про блокування акаунта, виграш чи оновлення. Після такого переходу користувач вводить логін, пароль або код підтвердження на підробленій сторінці. Наслідок — фішинг і крадіжка сесії. Щоб уникнути цього, відкривайте важливі сервіси лише через закладку або вручну набраний домен.
Третя помилка — відключати антивірус або ігнорувати системні попередження, бо “так швидше встановиться програма”. Якщо захист вимкнено, шкідливий інсталятор отримує більше шансів зібрати дані та закріпитися в системі. Щоб цього не робити вдруге, залишайте базовий захист увімкненим і перевіряйте причину будь-якого попередження, а не просто натискайте Allow.
Четверта помилка — ставити підозрілі розширення браузера або передавати коди Telegram “службі підтримки”. Симптоми тут непомітні: акаунт ще працює, але з нього вже можуть читати сесію чи підміняти логін. Наслідок — викрадення Telegram або Discord без явного зламу пароля. Виправлення: видалити зайві розширення, перевірити активні сесії та ніколи не передавати коди входу третім особам.
Часті запитання
Як зрозуміти, що на Mac є AtomicStealer? Найчастіше це видно не по одному симптому, а по комбінації: підозрілі процеси, фоновий мережевий трафік, нові входи в акаунти, невідомі сесії в Telegram або Discord, дивні вікна з паролем і зникнення доступу до браузерних або криптоданих.
Чи може AtomicStealer вкрасти паролі з браузера? Так, дослідники прямо вказують на крадіжку даних із Chrome, Firefox та інших Chromium-браузерів, включно з cookies, login data, autofill і збереженими паролями.
Чи небезпечний VPN, якщо комп’ютер уже заражений? VPN сам по собі не лікує зараження. Якщо шкідник уже працює в системі, він може вкрасти пароль, cookie або токен до того, як трафік піде через VPN. VPN корисний для мережевої приватності, але не замінює перевірку файлів, розширень і сесій.
Що робити, якщо викрали Telegram? Негайно завершити всі активні сеанси, увімкнути двофакторний пароль, перевірити прив’язаний номер і пошту, змінити пароль пошти та перевірити, чи немає сторонніх ботів або клієнтів. Якщо зловмисник уже отримав session data, просто зміни пароля недостатньо.
Чим небезпечні фейкові сайти з оновленнями браузера? Вони часто ведуть до завантаження шкідливого інсталятора або до інструкції запустити команду в Terminal. Саме так користувача змушують самостійно запустити AMOS або подібний стілер.
Як перевірити, чи не вкрали криптогаманець? Перевірте історію входів, активні сесії біржі, чи не змінювалися пошта та номер, чи не з’являлися нові дозволи на підпис транзакцій, а також чи не відкривалися сторонні розширення або фейкові копії гаманця. У випадку зараження змінюйте паролі з чистого пристрою і виводьте сесії з усіх акаунтів.
Чи допомагає двофакторний захист від AtomicStealer? Допомагає, але не повністю. 2FA захищає від входу лише за паролем, однак вкрадена сесія, cookie або токен можуть обійти повторний ввід коду. Тому потрібні ще перевірка сесій, скидання доступів і очищення браузера.
Читайте також
Корисні розділи для подальшої перевірки безпеки:
Закладки
Якщо вам була корисна ця стаття, додайте наш блог про безпеку браузерів і акаунтів у закладки.
Натисніть Ctrl + D
