Gli esperti di Sophos X-Ops hanno esplorato la distribuzione e le capacità di Atomic macOS Stealer (AMOS), un malware sempre più diffuso che mira a rubare dati sensibili dai dispositivi macOS.
Tradizionalmente, si è creduto che macOS fosse meno vulnerabile agli attacchi informatici rispetto a Windows, complici la sua minore quota di mercato e una serie di funzionalità di sicurezza integrate. Tuttavia, il panorama è cambiato, e oggi macOS è sempre più preso di mira da malware tradizionali, inclusi infostealer come AMOS. Secondo i dati di telemetria di Sophos, gli infostealer rappresentano oltre il 50% di tutti i rilevamenti di malware su macOS negli ultimi sei mesi, con AMOS tra le famiglie più comuni.
AMOS, segnalato per la prima volta da Cyble nell’aprile 2023, è progettato per rubare informazioni sensibili come cookie, password, dati di compilazione automatica e contenuti dei portafogli di criptovalute. Questi dati vengono poi inviati a un attaccante, che può utilizzarli direttamente o venderli nei mercati criminali online, dove la domanda di questi “log” è alta e in continua crescita.
Il malware è venduto su canali pubblici come Telegram, con un costo che è salito da 1.000 dollari al mese nel 2023 a 3.000 dollari nel 2024, segno della crescente domanda e del valore che gli aggressori attribuiscono ai dati rubati agli utenti macOS. AMOS si distingue tra altri infostealer come MetaStealer, KeySteal e CherryPie per la sua ampia diffusione e sofisticazione.
Metodi di Diffusione
AMOS viene distribuito principalmente attraverso tecniche di malvertising, che coinvolgono l’uso di annunci pubblicitari fraudolenti per indirizzare gli utenti verso siti dannosi, e tramite SEO poisoning, una strategia che manipola i risultati dei motori di ricerca per promuovere siti che distribuiscono malware. Gli attaccanti utilizzano queste tecniche per attirare gli utenti su siti malevoli, dove il malware viene scaricato al posto di software legittimi come Notion, Trello, Arc, Slack e Todoist. Alcune campagne di malvertising sono state persino individuate sui social media, come una su X.com che indirizzava gli utenti a un falso programma di installazione di “Clean My Mac X”.
Sophos ha scoperto che AMOS utilizza anche GitHub per ospitare i suoi file binari, e numerose directory aperte distribuiscono non solo AMOS ma anche altri malware come Rhadamanthys infostealer per Windows. Le capacità di AMOS continuano a evolvere, includendo ora un dropper Python che offusca dati chiave, rendendo più difficile il rilevamento da parte dei software di sicurezza.
Nuove Minacce e Considerazioni Future
Di recente, i distributori di AMOS hanno annunciato che una nuova versione del malware potrebbe prendere di mira gli utenti iPhone, sfruttando le nuove regole del Digital Markets Act (DMA) dell’UE, che richiederanno ad Apple di consentire marketplace di app alternativi per i dispositivi iOS. Sebbene non sia ancora confermata la disponibilità di una versione iOS di AMOS, questa evoluzione sottolinea l’urgenza per gli utenti di adottare misure di sicurezza rigorose.
Consigli per gli Utenti
Con l’aumento delle minacce su macOS, è essenziale che gli utenti scarichino software solo da fonti affidabili e verificate, evitando siti sospetti e pop-up che richiedono informazioni sensibili o privilegi elevati. È inoltre consigliabile utilizzare meccanismi di crittografia avanzata, come password principali o autenticazione biometrica, per proteggere i dati archiviati dai browser.
Con il rilascio di macOS 15 (Sequoia) previsto per l’autunno 2024, Apple introdurrà nuove misure per impedire l’esecuzione di software non firmato, rendendo più difficile per gli utenti ignorare gli avvisi di sicurezza di Gatekeeper.
https://news.sophos.com/en-us/2024/09/06/atomic-macos-stealer-leads-sensitive-data-theft-on-macos/