12-05-2025, 05:17 PM
Nombre:
Atomic macOS Stealer (AMOS)
Categoría:
Infostealer para macOS (MaaS)
Fecha de descubrimiento:
Alrededor de 2023
Comportamiento (lo que hace y archivos que infecta):
Ejemplo de payload AMOS usado en campañas ClickFix:
Mitigación con GetOverX Shield v3.0.2.0 o superior:
(Nota: GetOverX Shield protege principalmente endpoints Windows, pero puede ayudar a proteger infraestructura Windows donde se descargan o almacenan cracks para macOS.)
Atomic macOS Stealer (AMOS)
Categoría:
Infostealer para macOS (MaaS)
Fecha de descubrimiento:
Alrededor de 2023
Comportamiento (lo que hace y archivos que infecta):
- Malware para macOS capaz de robar:
- Contraseñas del llavero (Keychain).
- Credenciales de navegador, autofill, wallets, notas, etc.
- Contraseñas del llavero (Keychain).
- Vendido como servicio en Telegram, con campañas continuas y mejoras constantes (incluso backdoor persistente)
- Se distribuye como:
- Apps “crackeadas” para macOS (ej. copias pirata de apps de pago).
- Sitios y GitHub Pages falsos que suplantan software legítimo (Homebrew, apps para Mac, etc.).
- Apps “crackeadas” para macOS (ej. copias pirata de apps de pago).
- Aprovecha instaladores manipulados y scripts (por ejemplo AppleScript o comandos de terminal) que el usuario copia y pega manualmente.
- Nuevas versiones incluyen backdoor capaz de sobrevivir reinicios y descargar más malware.
Ejemplo de payload AMOS usado en campañas ClickFix:
Code:
94379fa0a97cc2ecd8d5514d0b46c65b0d46ff9bb8d5a4a29cf55a473da550d5(Nota: GetOverX Shield protege principalmente endpoints Windows, pero puede ayudar a proteger infraestructura Windows donde se descargan o almacenan cracks para macOS.)
- Antivirus:
- Analizar con GetOverX Shield cualquier archivo
,Code:.zip
o instalador de macOS que se descargue y almacene en servidores Windows o estaciones de trabajo Windows antes de ser transferido al Mac.Code:.dmg
- Bloquear y registrar archivos que se identifiquen como loaders de AMOS u otros stealers para macOS.
- Analizar con GetOverX Shield cualquier archivo
- Firewall:
- En servidores de archivos Windows, bloquear tráfico sospechoso hacia dominios conocidos por distribuir AMOS (para evitar que usuarios descarguen las “apps crackeadas” desde esos equipos).
- En servidores de archivos Windows, bloquear tráfico sospechoso hacia dominios conocidos por distribuir AMOS (para evitar que usuarios descarguen las “apps crackeadas” desde esos equipos).
- HIPS/EDR:
- Detectar en endpoints Windows el uso de navegadores para descargar repetidamente cracks de macOS desde dominios sospechosos y generar alertas de concienciación.
- Registrar este patrón para entrenamiento y política interna.
- Detectar en endpoints Windows el uso de navegadores para descargar repetidamente cracks de macOS desde dominios sospechosos y generar alertas de concienciación.
- Sandbox:
- Analizar en Sandbox Windows cualquier archivo comprimido que supuestamente contenga instaladores de macOS, verificando si lleva scripts o binarios adicionales.
- Analizar en Sandbox Windows cualquier archivo comprimido que supuestamente contenga instaladores de macOS, verificando si lleva scripts o binarios adicionales.
- Medidas posteriores al incidente:
- En Macs potencialmente infectados, utilizar soluciones específicas para macOS y seguir guías de respuesta ante AMOS (borrado, reinstalación y rotación de credenciales).
- Cambiar todas las contraseñas y revisar accesos a servicios vinculados a Apple ID, wallets y cuentas corporativas.
- En entornos mixtos (Windows/macOS), definir una política clara que prohíba cracks en ambos sistemas y centralizar descargas en repositorios controlados.
- En Macs potencialmente infectados, utilizar soluciones específicas para macOS y seguir guías de respuesta ante AMOS (borrado, reinstalación y rotación de credenciales).