Analista de malware descobriu uma nova versão do Atomic macOS info-stealer (também conhecido como 'AMOS') que vem com um backdoor, concedendo aos atacantes acesso persistente aos sistemas comprometidos.
O novo componente permite a execução de comandos remotos arbitrários, sobrevive a reinicializações e permite manter o controle sobre os hosts infectados indefinidamente.
A divisão de cibersegurança da MacPaw, Moonlock, analisou o backdoor no malware Atomic após uma dica do pesquisador independente g0njxa, um observador atento da atividade de infostealers.
"As campanhas do malware AMOS já atingiram mais de 120 países, com os Estados Unidos, França, Itália, Reino Unido e Canadá entre os mais afetados", dizem os pesquisadores.
A versão com backdoor do Atomic macOS Stealer agora tem o potencial de ganhar acesso total a milhares de dispositivos Mac em todo o mundo.
O Atomic stealer, documentado pela primeira vez em abril de 2023, é uma operação de malware-as-a-service (MaaS) promovida em canais do Telegram por uma assinatura pesada de $1.000 por mês.
Ele visa arquivos macOS, extensões de criptomoedas e senhas de usuários armazenadas em navegadores web.
Em novembro de 2023, suportou a primeira expansão de campanhas 'ClearFake' para macOS, enquanto em setembro de 2024, foi avistado em uma campanha em larga escala pelo grupo de cibercrime 'Marko Polo', que o implantou em computadores Apple.
A Moonlock relata que o Atomic recentemente mudou de canais de distribuição amplos como sites de software crackeados, para phishing direcionado a proprietários de criptomoedas, bem como convites para entrevistas de emprego direcionados a freelancers.
A versão analisada do malware vem com um backdoor embutido, uso de LaunchDaemons para sobreviver a reinicializações no macOS, rastreamento de vítimas baseado em ID e nova infraestrutura de comando e controle.
O executável principal do backdoor é um binário chamado '.helper', baixado e salvo no diretório inicial da vítima como um arquivo oculto após a infecção, dizem os pesquisadores.
Um script de wrapper persistente chamado '.agent' (também oculto) executa '.helper' em um loop como o usuário conectado, enquanto um LaunchDaemon (com.finder.helper) instalado via AppleScript garante que '.agent' seja executado na inicialização do sistema.
Esta ação é realizada com privilégios elevados usando a senha do usuário roubada durante a fase inicial de infecção sob um falso pretexto.
O malware pode então executar comandos e mudar a propriedade do PLIST do LaunchDaemon para 'root:wheel' (nível de superusuário no macOS).
O backdoor permite que os atores de ameaças executem comandos remotamente, registrem as teclas digitadas, introduzam payloads adicionais ou explorem o potencial de movimento lateral.
Para evitar detecção, o backdoor verifica ambientes de sandbox ou máquina virtual usando 'system_profiler' e também apresenta ofuscação de strings.
A evolução do malware Atomic mostra que os usuários de macOS estão se tornando alvos mais atraentes e as campanhas maliciosas direcionadas a eles estão cada vez mais sofisticadas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...