El notorio malware de Atomic MacOS Stealer (AMOS) ha recibido una actualización peligrosa que aumenta significativamente la amenaza para los usuarios de Mac en todo el mundo.
Por primera vez, este robador afiliado a Rusia se está desplegando con una puerta trasera integrada, lo que permite a los atacantes mantener un acceso persistente a sistemas comprometidos, ejecutar comandos remotos y establecer un control a largo plazo sobre las máquinas víctimas.
Esto representa la evolución más significativa de los AMOS desde su aparición, transformando lo que alguna vez fue una herramienta de robo de datos de “aplastar y aclarar” en una plataforma para la vigilancia sostenida y el compromiso del sistema.
Según los investigadores de ciberseguridad en Moonlock, la división de seguridad de MacPaw, esto marca solo el segundo caso conocido de despliegue de puerta trasera dirigida a usuarios de MacOS a escala global, siguiendo tácticas similares empleadas por los actores de amenaza de Corea del Norte.
Las campañas de malware ya se han infiltrado en más de 120 países, con Estados Unidos, Francia, Italia, el Reino Unido y Canadá entre las regiones más afectadas.
La versión trasera de Amos ahora amenaza con proporcionar a los atacantes acceso completo a miles de dispositivos Mac en todo el mundo.
Capacidades de robador de información de MacOS Atomic MacOS
Vectores técnicos de sofisticación y ataque
El AMOS actualizado emplea dos métodos de distribución principales: sitios web que ofrecen software agrietado o falsificado, y sofisticadas campañas de phishing de lanza dirigidas a individuos de alto valor, particularmente a los titulares de criptomonedas.
Los ataques de phishing de lanza a menudo se disfrazan de entrevistas de trabajo escenificadas, que generalmente se dirigen a artistas y freelancers a quienes se les pide que proporcionen contraseñas del sistema bajo la apariencia de habilitar el intercambio de pantalla para las entrevistas.
Una vez ejecutado, el malware establece la persistencia a través de una cadena compleja de componentes, que incluye un archivo DMG troyanizado, scripts de envoltura de bash y alias terminales diseñados para evitar las protecciones de MacOS Gatekeeper.
La puerta trasera mantiene la comunicación con los servidores de comando y control ubicados en las direcciones IP 45.94.47.145 y 45.94.47.147, enviando solicitudes de publicación HTTP cada 60 segundos para recibir nuevas tareas y comandos.
Cadena de robador de información de MacOS Atomic MacOS
El grupo de amenazas de AMOS parece estar siguiendo patrones establecidos pioneros por los cibercriminales de Corea del Norte, que han combinado con éxito las puertas traseras con los robadores en ataques de MacOS.
Sin embargo, mientras que los grupos norcoreanos generalmente se centran en el robo rápido de criptomonedas, la puerta trasera de Amos está diseñada para la persistencia a largo plazo y el compromiso extendido del sistema.
El malware crea un lanzamiento de la etiqueta con la etiqueta “com.finder.helper” que garantiza que la puerta trasera sobrevive a los reinicios del sistema.
Implementa un enfoque de múltiples capas utilizando archivos ocultos llamados “.helper” y “.agent” para mantener operaciones encubiertas y evadir la detección.
Los investigadores de seguridad tienen observado Un rápido aumento en muestras binarias únicas de AMOS desde el comienzo de 2024, lo que indica el desarrollo y el despliegue activos.
El crecimiento de la industria de malware como servicio (MAAS) sugiere que probablemente surgirán más variantes del robador de macOS atómico actualizado, con capacidades mejoradas para la evasión de detección y la penetración del sistema.
Protección y recomendaciones
La evolución de los AMOS de un simple robador de datos a una puerta trasera persistente aumenta significativamente el riesgo para las víctimas, transformando las violaciones únicas en compromisos a largo plazo.
Los expertos en seguridad recomiendan que los usuarios de Mac empleen un software antimalware adicional, permanezcan atentos a las tácticas de ingeniería social y reduzcan su huella digital para minimizar la exposición a ataques específicos.
La comunidad de ciberseguridad continúa monitoreando las operaciones de AMOS, y los investigadores comparten inteligencia de amenazas para ayudar a los equipos de seguridad a actualizar sus medidas defensivas contra esta amenaza en evolución a los usuarios de MacOS en todo el mundo.
Alerta de seminario web exclusivo: aprovechar las innovaciones del procesador Intel® para la seguridad avanzada de API – Regístrese gratis
