Зловещий симбиоз: знаменитый macOS-стилер AMOS осваивает охоту с помощью ИИ-ассистентов

Киберпреступность никогда не стоит на месте, но новый виток эволюции вредоносного программного обеспечения вызывает особую тревогу. Речь идёт о знаменитом трояне AMOS (Atomic macOS Stealer), который годами специализируется на краже конфиденциальных данных с компьютеров Apple. Если раньше его операторы полагались на классические фишинговые письма, поддельные обновления и пиратский софт, то теперь в ход пошли самые модные технологии — искусственный интеллект и популярные ИИ-ассистенты. Злоумышленники быстро поняли, что доверие пользователей к чат-ботам и нейросетям можно использовать как идеальную приманку.

В начале февраля 2026 года компания KOI Security опубликовала тревожное исследование. Оказалось, что экосистема ClawHub, построенная вокруг известного ИИ-ассистента OpenClaw, стала настоящим рассадником вредоносных компонентов. Из 2800 зарегистрированных «навыков» (аналог расширений или плагинов) 341 был признан вредоносным. И это ещё не всё: 335 из них были частью одной крупной кампании, которую исследователи связали именно с AMOS. Масштаб впечатляет: по сути, злоумышленники создали целую ботнет-сеть внутри легитимной платформы, маскируя её под полезные ИИ-инструменты.

Компания Flare в своём анализе напоминает историю появления AMOS. Впервые о нём заговорили в Telegram, причём рекламное объявление было написано на русском языке. Уже тогда декларируемые возможности внушали уважение криминальному миру: извлечение паролей из связки macOS (Keychain), кража файлов и системной информации, перехват активных сессий браузера (включая cookies, что позволяет обойти двухфакторную аутентификацию), а также хищение данных из криптовалютных кошельков. Со временем логи AMOS (и других криптостилеров) превратились в ходовой товар на теневых форумах — их покупают брокеры доступа, специалисты по захвату аккаунтов и даже операторы программ-вымогателей.

До недавнего времени AMOS распространялся довольно предсказуемо. В ход шли фишинговые сообщения в мессенджерах и электронной почте, поддельные обновления для популярного ПО, пиратские версии приложений (особенно на торрент-трекерах), а также злоупотребление рекламной сетью Google Ads — объявления вели на поддельные сайты, визуально неотличимые от официальных. Для заражения конечного устройства операторы AMOS активно использовали технику ClickFix. Суть проста: жертву убеждают скопировать вредоносную команду и вставить её в системный терминал (Terminal.app на macOS). Пользователь, доверяя инструкции, сам запускает атаку.

Михаил Зайцев, эксперт по информационной безопасности компании SEQ, комментирует ситуацию: «Выкорчевать такую разветвлённую сеть крайне сложно, если возможно вообще. Монетизация AMOS — это многоступенчатая структура, на которой зарабатывают не только разработчики и операторы атак, но и брокеры доступа, хакеры, специализирующиеся на захвате аккаунтов, специалисты по размыванию транзакций и обналичиванию криптовалюты. Возможно, когда-нибудь эту сеть удастся разрушить, но на данном этапе гораздо практичнее конечным пользователям соблюдать правила цифровой гигиены и расширять осведомлённость об уловках мошенников. Любая попытка убедить вас что-то скопировать и запустить в терминале — это стопроцентный признак кибератаки, которую жертва, по сути, производит сама на себя».

Кампания ClawHavoc, связанная с эксплуатацией ИИ-приложений, — не первая для создателей AMOS. В декабре 2025 года исследователи из компании Huntress уже фиксировали атаки на пользователей ChatGPT. Тогда злоумышленники использовали функцию групповых чатов ChatGPT для хостинга вредоносных инструкций. Жертвам предлагали установить несуществующий браузер ChatGPT Atlas под macOS. Финал всегда один и тот же: атака ClickFix и просьба скопировать вредоносную строку в терминал.

Новая схема с OpenClaw работает по похожему, но более изощрённому сценарию. Жертвам настоятельно предлагают перед установкой полезного «навыка» скачать мнимую агентскую утилиту. Если речь идёт о Windows — просто запустить её. Если жертва использует macOS (а именно на эту систему нацелен AMOS), то процесс включает дополнительные шаги, маскирующиеся под настройку безопасности. В итоге пользователь сам скачивает и запускает загрузчик, который инжектирует в систему полноценную версию Atomic macOS Stealer.

Почему это работает? Психологический фактор здесь важнее технических уязвимостей. Пользователи привыкли доверять интерфейсам на базе ИИ. ChatGPT, OpenClaw и другие ассистенты воспринимаются как «умные» и «безопасные» помощники. Когда внутри такого приложения появляется рекомендация установить расширение или запустить скрипт для улучшения функционала, критическое мышление часто отключается. Эту особенность человеческой психики операторы AMOS эксплуатируют с завидным хладнокровием.

Показательно, что схема ClawHavoc не требует взлома самой платформы OpenClaw или наличия нуль-дня в macOS. Всё строится на социальной инженерии и доверии к ИИ. Злоумышленники регистрируют вредоносные «навыки» как обычные расширения, дают им безобидные названия (например, «Улучшенный экспорт данных» или «AI-помощник для почты») и ждут, пока пользователь сам скачает и установит «агентскую утилиту». После этого троян получает полный доступ к ключам, файлам, браузерным сессиям и криптокошелькам.

Что делать обычным пользователям macOS? Эксперты сходятся во мнении: нужно принять за железное правило — никогда не копировать команды в терминал по просьбе из интернета, даже если эта просьба исходит от интерфейса популярного ИИ-ассистента. Перед установкой любых расширений или «навыков» стоит проверять их репутацию, искать отзывы и следить, не просят ли они дополнительных действий за пределами основного приложения. Также не лишним будет включить встроенную защиту macOS (XProtect, Gatekeeper) и регулярно обновлять систему.

Атаки с использованием ИИ-приманок — это не просто очередной тренд. Это новый уровень киберугроз, где граница между легитимным софтом и вредоносным ПО стирается до неузнаваемости. AMOS, начинавший с объявлений на русском языке в Telegram, превратился в сложную экосистему, которая заражает пользователей через то, чему они доверяют больше всего — через новейшие технологии. И если разработчики платформ вроде OpenClaw и ChatGPT не внедрят строгую модерацию «навыков» и предупреждения о потенциальных рисках, количество жертв будет только расти.