El Stealer Atomic MacOS (AMOS) se ha sometido a una evolución significativa, transformándose de un robador de información tradicional en una sofisticada amenaza persistente capaz de mantener el acceso a largo plazo a los sistemas de macOS comprometidos.
Este desarrollo marca una escalada crítica en las capacidades del malware, lo que permite a los atacantes ejecutar comandos remotos e implementar cargas útiles adicionales más allá de sus funciones de robo de datos originales.
La estrategia de distribución del malware combina dos vectores de ataque primarios: sitios web que ofrecen software agrietado o falsificado y sofisticadas campañas de phishing de lanza dirigidas a individuos de alto valor, particularmente a los titulares de criptomonedas y trabajadores independientes, incluidos artistas.
Estos ataques de phishing a menudo se disfrazan de procesos legítimos de la entrevista de trabajo, engañando a las víctimas para instalar archivos de DMG troyanizados solicitando contraseñas del sistema con el pretexto de habilitar el software de intercambio de pantalla.
Analistas de polyswarm identificado que las campañas de Amos ya han impactado en más de 120 países, con Estados Unidos, Francia, Italia, el Reino Unido y Canadá que experimentan la actividad más significativa.
El modelo de malware como servicio sugiere un desarrollo continuo, con informes que indican posibles características de keylogging actualmente en desarrollo.
Mecanismos de persistencia y evasión
La implementación técnica del trasero demuestra tácticas de persistencia sofisticadas diseñadas para sobrevivir a los reinicios del sistema y evadir la detección. Amos despliega un binario llamado .Helper como un archivo oculto dentro del directorio de inicio de la víctima, acompañado de un script de envoltura llamado .agent que garantiza la ejecución continua.
El malware establece la persistencia a través de un lanzador etiquetado como com.finder.helper, instalado a través de AppleScript utilizando credenciales de usuario robadas para privilegios elevados.
La comunicación con los servidores de comando y control se produce a través de solicitudes de publicación HTTP transmitidas cada 60 segundos para recibir nuevas tareas.
Para evitar la detección durante el análisis, AMOS emplea técnicas de ofuscación de cadenas y verifica activamente entornos de sandbox o máquinas virtuales utilizando el comando System_Profiler, asegurando la seguridad operativa durante las fases de implementación y ejecución.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
