Το Atomic MacOS Stealer (AMOS), ένα διαβόητο malware που στοχεύει συστήματα MacOS, έχει υποστεί μια σημαντική εξέλιξη με την ενσωμάτωση ενός backdoor, αυξάνοντας σημαντικά την απειλή για τους χρήστες Mac . Αυτή η αναβάθμιση σηματοδοτεί μια κρίσιμη καμπή για το AMOS, επιτρέποντας στους εισβολείς να επιτύχουν συνεχή πρόσβαση σε παραβιασμένα συστήματα Mac, να εκτελούν αυθαίρετες εντολές από απομακρυσμένους διακομιστές ελέγχου και να επεκτείνουν τον έλεγχό τους στα συστήματα των θυμάτων πέρα από την απλή κλοπή δεδομένων .
Η Moonlock, το τμήμα κυβερνοασφάλειας της MacPaw, αξιολογεί τώρα το AMOS ως τον υψηλότερο κίνδυνο που έχει παρατηρηθεί μέχρι σήμερα από αυτό το malware και σημειώνει ότι είναι μόνο η δεύτερη γνωστή περίπτωση, μετά τις επιθέσεις από Βορειοκορεάτες APT, ανάπτυξης backdoors σε αυτή την κλίμακα σε MacOS παγκοσμίως . Οι ερευνητές ασφαλείας έχουν παρατηρήσει μια ταχεία αύξηση στα μοναδικά δείγματα δυαδικών αρχείων AMOS από τις αρχές του 2024, υποδεικνύοντας ενεργή ανάπτυξη και ανάπτυξη .
Η προσθήκη ενός backdoor στο Atomic MacOS Stealer σημαίνει ότι η απειλή δεν περιορίζεται πλέον σε κλεμμένα διαπιστευτήρια ή έγγραφα, αλλά επεκτείνεται σε πλήρη παραβίαση του συστήματος σε MacOS . Στην πράξη, αυτό σημαίνει ότι, παράλληλα με την εκτέλεση του AppleScript ως το κύριο ωφέλιμο φορτίο AMOS, το stealer περιλαμβάνει νέα λογική για τη ρύθμιση της επιμονής . Η συνολική επικοινωνία μεταξύ του κακόβουλου λογισμικού και του C2 έχει αλλάξει δραστικά από την εφάπαξ αποστράγγιση δεδομένων σε πιο σύνθετες αναθέσεις μοναδικών αναγνωριστικών σε κάθε μολυσμένο κεντρικό υπολογιστή .
Η εξέλιξη του AMOS από ένα απλό εργαλείο κλοπής δεδομένων σε ένα επίμονο backdoor αυξάνει σημαντικά τον κίνδυνο για τα θύματα, μετατρέποντας τις εφάπαξ παραβιάσεις σε μακροχρόνιους συμβιβασμούς . Οι ειδικοί ασφαλείας συνιστούν στους χρήστες Mac να χρησιμοποιούν πρόσθετο λογισμικό anti-malware, να παραμένουν σε επαγρύπνηση έναντι των τακτικών κοινωνικής μηχανικής και να μειώσουν το ψηφιακό τους αποτύπωμα για να ελαχιστοποιήσουν την έκθεση σε στοχευμένες επιθέσεις .
Το AMOS στοχεύει μια πληθώρα ευαίσθητων πληροφοριών, συμπεριλαμβανομένων των κωδικών πρόσβασης keychain, των εγγράφων χρήστη, των πληροφοριών συστήματος, των δεδομένων του προγράμματος περιήγησης, των στοιχείων της πιστωτικής κάρτας και των πορτοφολιών κρυπτονομισμάτων . Το κακόβουλο λογισμικό διανέμεται συνήθως μέσω ιστότοπων που φιλοξενούν μη υπογεγραμμένα αρχεία εικόνων δίσκου (DMG) που, όταν εκτελούνται, εγκαθιστούν το κακόβουλο λογισμικό στο μηχάνημα του θύματος .
Η ανάπτυξη του AMOS αντικατοπτρίζει τις εξελισσόμενες τακτικές των εγκληματιών του κυβερνοχώρου που στοχεύουν χρήστες MacOS. Αρχικά εντοπίστηκε στις αρχές του 2023, το AMOS έχει γίνει ένα διαδεδομένο malware, που συχνά διανέμεται μέσω παραπλανητικών μέσων, όπως ψεύτικες διαφημίσεις και πλαστά προγράμματα . Μόλις εκτελεστεί, εξαπατά τα θύματα ώστε να παρακάμψουν τις προτροπές ασφαλείας του MacOS και προχωρά στην εξαγωγή ευαίσθητων δεδομένων, συμπεριλαμβανομένων των διαπιστευτηρίων, των cookies, των σημειώσεων και των αρχείων πορτοφολιού κρυπτονομισμάτων .
Η ικανότητα του AMOS να διατηρεί την επιμονή, να αποφεύγει την ανίχνευση και να επιτρέπει την εκ νέου μόλυνση υπογραμμίζει τη σημασία της συνεχούς επαγρύπνησης και των ταχέων αμυντικών ενημερώσεων . Η κοινότητα κυβερνοασφάλειας συνεχίζει να παρακολουθεί τις λειτουργίες του AMOS, με τους ερευνητές να μοιράζονται πληροφορίες για τις απειλές για να βοηθήσουν τις ομάδες ασφαλείας να ενημερώσουν τα αμυντικά τους μέτρα έναντι αυτής της εξελισσόμενης απειλής για τους χρήστες MacOS παγκοσμίως .
Οι κακόβουλοι παράγοντες είναι πιθανό να συνεχίσουν να βελτιώνουν αυτό το έτοιμο για χρήση κακόβουλο λογισμικό και να βελτιώνουν την ικανότητά του να αποφεύγει την ανίχνευση, να παραβιάζει συστήματα, να διατηρεί την επιμονή και να εξάγει δεδομένα . Με την άνοδο της βιομηχανίας malware-as-a-service (MaaS), αναμένουμε να εμφανιστούν περισσότερες παραλλαγές του ενημερωμένου Atomic MacOS Stealer .
Οι καμπάνιες κακόβουλου λογισμικού AMOS έχουν ήδη φτάσει σε πάνω από 120 χώρες, με τις Ηνωμένες Πολιτείες, τη Γαλλία, την Ιταλία, το Ηνωμένο Βασίλειο και τον Καναδά να είναι μεταξύ των χωρών που έχουν πληγεί περισσότερο . Η έκδοση του Atomic MacOS Stealer με backdoor έχει πλέον τη δυνατότητα να αποκτήσει πλήρη πρόσβαση σε χιλιάδες συσκευές Mac παγκοσμίως .