Uma nova campanha maliciosa mira desenvolvedores macOS por meio de sites falsos que imitam plataformas populares como Homebrew, LogMeIn e TradingView, distribuindo malwares do tipo infostealer, como AMOS (Atomic macOS Stealer) e Odyssey.
A estratégia utilizada baseia-se em técnicas conhecidas como “ClickFix”, nas quais as vítimas são induzidas a executar comandos no Terminal, acabando por infectar seus próprios dispositivos.
O Homebrew, conhecido gerenciador de pacotes open source para macOS e Linux, já havia sido explorado em campanhas de malvertising para disseminar o AMOS.
LogMeIn, serviço de acesso remoto, e TradingView, plataforma voltada para análise de mercado e gráficos financeiros, também são amplamente usados por usuários Apple e tiveram suas identidades falsificadas nesta campanha.
Pesquisadores da empresa de threat hunting Hunt[.]io identificaram mais de 85 domínios que simulam esses três serviços.
Ao analisar alguns desses sites, a equipe do BleepingComputer constatou que vários foram promovidos via Google Ads, o que garantiu sua presença entre os resultados de busca do Google.
Os sites fraudulentos simulam portais de download convincentes para os aplicativos falsos, instruindo os usuários a copiar um comando curl no Terminal para realizar a instalação, conforme detalham os pesquisadores.
Em certos casos, como nos sites que imitam o TradingView, os comandos maliciosos são disfarçados como “confirmação de segurança de conexão”.
No entanto, ao clicar no botão de “copiar”, o usuário recebe um comando codificado em base64 para instalação, em vez do ID de verificação da Cloudflare exibido.
Esses comandos recuperam e decodificam um arquivo ‘install.sh’, que baixa um payload binário, remove flags de quarentena e contorna os alertas do Gatekeeper para permitir sua execução.
O payload instalado é o AMOS ou o Odyssey, que só são ativados após verificar se o ambiente não é uma máquina virtual ou um sistema de análise.
O malware utiliza explicitamente o sudo para executar comandos com privilégios de root.
Sua primeira ação é coletar dados detalhados de hardware e memória do sistema infectado.
Em seguida, interfere em serviços do sistema, como o encerramento de processos de atualização do OneDrive, e manipula os serviços XPC do macOS para disfarçar sua atividade maliciosa entre processos legítimos.
Na sequência, entram em ação os componentes responsáveis pelo roubo de informações, que coletam dados sensíveis armazenados em navegadores, credenciais de criptomoedas e os exfiltram para um servidor de comando e controle (C2).
O AMOS, documentado pela primeira vez em abril de 2023, é oferecido como malware-as-a-service (MaaS) com assinatura mensal de US$ 1.000, sendo capaz de roubar uma ampla variedade de dados dos computadores infectados.
Recentemente, seus criadores adicionaram um backdoor que concede acesso remoto persistente aos operadores da ameaça.
Já o Odyssey Stealer, identificado por pesquisadores da CYFIRMA neste verão, é uma família relativamente nova derivada do Poseidon Stealer, que, por sua vez, originou-se a partir do AMOS.
Ele foca em roubar credenciais e cookies armazenados nos navegadores Chrome, Firefox e Safari, mais de cem extensões de carteiras de criptomoedas, dados do Keychain e arquivos pessoais, enviando todo esse material compactado em formato ZIP para os atacantes.
Especialistas reforçam que usuários nunca devem colar comandos encontrados na internet no Terminal sem compreendê-los completamente — uma medida essencial para evitar infecções.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...